Re: Vidage de table ip_conntrack

["Pascal@plouf" <pascal.mail@plouf.fr.eu.org>]

Salut,

Olive a écrit :
> Le véritable problème est que en attendant j'aurais aimé vidé la table
> ip_conntrack sans devoir rebooter. Une brève recherche sur google me dit
> qu'il faut tout simplement que je décharge le module ip_conntrack.
> Seulement voilà celui-ci dépend de ipt_state et de iptable_nat et

C'est plutôt l'inverse : ipt_state et iptable_nat dépendent de ip_conntrack.

> ceux-là je n'arrive pas à les décharger avec rmmod car apparemment ils
> sont utilisés (ou indisponibles ?) mais je ne sais pas par qui :

> :/var/log# lsmod
> Module                  Size  Used by
[...]
> ipt_state               1408  24 
> iptable_mangle          2080  0 
> iptable_nat            22088  1 
> ip_conntrack           40596  2 ipt_state,iptable_nat
> iptable_filter          2848  1 
> ip_tables              16576  4
> 	ipt_state,iptable_mangle,iptable_nat,iptable_filter

Tiens, tu n'utilises pas les modules ip_conntrack_ftp et ip_nat_ftp pour 
ne pas avoir de problème avec les connexions FTP ?

> rmmod ipt_state ou rmmod iptable_nat me donne le message d'erreur
> suivant : ERROR: Module iptable_nat is in use
> J'ai essayé virer tous les modules, mais à la fin je n'ai pratiquement
> plus rien et ces deux là ne veulent toujours pas partir même avec
> l'option -f :
> ERROR: Removing 'iptable_nat': Resource temporarily unavailable
>
> Donc quelqu'un pourrait-il me donner une explication et/ou une méthode
> pour décharger ces modules ?

ipt_state est utilisé par les règles iptables contenant une 
correspondance "-m state". iptable_nat est utilisé par les règles 
iptables contenant une cible "-j DNAT" ou "-j SNAT". Il faut supprimer 
toutes ces règles pour pouvoir décharger ces modules.

> Ou une autre méthode pour vider la table ip_conntrack ?

S'il en existe une, je l'ignore mais je suis intéressé. Tu as essayé de 
baisser /proc/sys/net/ipv4/ip_conntrack_max très bas ?