Re: ip_conntrack full
Mourad Jaber <ml-count@lundarael.dyndns.org> disait récemment :
> bonjour,
> C'est un peu la suite de mon précédent post voilà une semaine....
> J'ai le messge de ip_conntrack full dropping packet or, j'ai fermé
> l'application qui à généré les connection voilà une demi journée, tout
> ce passe comme si ip_conntrack continuait à entretenir la connection
> alors qu'elle n'existe plus...
> J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des
> connections qui sont maintenu vers la machine ou tournait
> l'application problematique... Quelqu'un connaitrai un moyen de
> réinitialiser ip_conntrack, mis à part relancer la machine passerelle ?
> Merci
Tu peux toujours essayer de charger/decharger les modules ip_conntrack
et cie, ça marche mais c'est loin d'être une solution viable.
Y'a moyen de faire mieux: apparement, par defaut, netfilter a un
timeout sur connexions tcp dites 'établies' de 5 jours... Et certains
programmes (xmule, pour ne pas le citer), ont tendance à oublier la
partie 'nettoyage'. (en 1 jour 1/2, je monte facilement à 6000 cxs,
ma limite). En baissant le timeout à 2-3 heures environ, ca passe sans
probléme.
Pour le baisser, va faire un tour sur:
http:°www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html#TCP
et descend dans la section timeout.
Recompile le module/kernel, et tout devrait bien aller...
> Mourad
--
standards, n.:
The principles we use to reject other people's code.
Reply to: