Re: Delai IDLE trop grand conntrack
Salut,
Benjamin RIOU a écrit :
J'ai une différence trop grande entre les connexions masqueradées et
les ESTABLISHED masqueradées (en gros, celles en attente de timeout et
les established)
Par curiosité, qu'est-ce que le masquerading vient faire là-dedans ? Les
délais sont les mêmes avec et sans NAT.
Pour réduire le délai de timeout en tcp masquradé, j'ai effectué
l'operation suivante
root@scenic500:~# echo 300 >
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
Avant, il y avait un délai de timeout de 5 jours !
Et quel est le problème ?
Je l'ai doresénavant mis à ... 5 minutes :-D
Euh... Tu n'as peur de rien. J'ai déjà vu des connexions TCP établies
sans aucun trafic pendant plus longtemps que ça.
Pourquoi un si grand délai avant ?
Parce que la durée d'inactivité d'une connexion TCP peut être énorme
sans que ce soit anormal. Il existe un mécanisme optionnel dit "TCP
keepalive" qui permet de maintenir une activité au niveau de la couche
réseau et de vérifier si la machine en face répond, dont la périodicité
par défaut est de 2 heures, soit bien plus que tes 5 minutes.
Vais-je au dela d'ennuis ?
Possible.
Faut il absolument rebooter pour que cela fonctionne ?
Pas que je sache, mais le nouveau réglage ne s'appliquera peut-être
qu'aux nouvelles connexions.
Reply to: