Re: Delai IDLE trop grand conntrack

To: Debian <debian-user-french@lists.debian.org>
Subject: Re: Delai IDLE trop grand conntrack
From: "Benjamin RIOU" <pandolphe@pandolphe-vision.net>
Date: Mon, 14 May 2007 23:31:07 +0200
Message-id: <[🔎] 28c01a080705141431x78a557e7t2f1fcfbe71797656@mail.gmail.com>
In-reply-to: <[🔎] 4648CFD6.4070509@plouf.fr.eu.org>
References: <[🔎] 28c01a080705141318i5ee31e50t98486b9a5af45044@mail.gmail.com> <[🔎] 4648CFD6.4070509@plouf.fr.eu.org>

Par curiosité, qu'est-ce que le masquerading vient faire là-dedans ? Les
délais sont les mêmes avec et sans NAT.

Hâ. je note.
Vu que c'etait dans netfilter et conntrack, je croyais -bêtement?- que
le parametre n'avait rapport qu'avec le masquerading.

> Avant, il y avait un délai de timeout de 5 jours !

Et quel est le problème ?


Je peux  pas avoir plus de 700 connexions ouvertes vers l'exterieur
(limitation d'un grand ami qui fournit le net, tu connais l'histoire -
l'internet Communiste, toussa).
Et donc, malgré que j'aie 150 connexions established, j'avais
facilement 750 connexions dans conntrack, ce qui bloquait toute
demande de nouvel accès exterieur... :-)

Et le module connlimit, dont nous avions parlé et que des gentils (et
patients) usagers de la liste m'avaient aidé à installer, ce module
connlimit, ne se base que sur les connexions ESTABLISHED.

> Je l'ai doresénavant mis à ... 5 minutes :-D

Euh... Tu n'as peur de rien. J'ai déjà vu des connexions TCP établies
sans aucun trafic pendant plus longtemps que ça.

Comme quoi, par exemple ?
Je me suis posé la question, sans trouver.
Le FTP-COMMAND est souvent régi par un timeout issu du serveur.
A ce que je vois, MSN envoie un paquet a son serveur toutes les 2 secondes.

> Pourquoi un si grand délai avant ?

Parce que la durée d'inactivité d'une connexion TCP peut être énorme
sans que ce soit anormal. Il existe un mécanisme optionnel dit "TCP
keepalive" qui permet de maintenir une activité au niveau de la couche
réseau et de vérifier si la machine en face répond, dont la périodicité
par défaut est de 2 heures, soit bien plus que tes 5 minutes.

D'accord.
C'est ca que j'aurais du baisser en fait , plutot...

> Vais-je au dela d'ennuis ?

Possible.

Rassurant. :-D
Je vous dirais si ca tient la route ou pas.

> Faut il absolument rebooter pour que cela fonctionne ?

Pas que je sache, mais le nouveau réglage ne s'appliquera peut-être
qu'aux nouvelles connexions.

Cela semble s'appliquer doucement, sans en être sur.

TOTAL DE CONNEXIONS                    582
TOTAL DE CONNEXIONS ESTABLISHED        129

vider /proc/net/ip_conntrack réinitialise toutes les connexions
NATées, ou cette affirmation est une immense connerie ?

Merci !
Ben.

Reply to:

Follow-Ups:
- Re: Delai IDLE trop grand conntrack
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- Delai IDLE trop grand conntrack
  - From: "Benjamin RIOU" <pandolphe@pandolphe-vision.net>
- Re: Delai IDLE trop grand conntrack
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: attribution d'adresse à imprimante résau
Next by Date: Re: [HS] Proteger un tar.gz
Previous by thread: Re: Delai IDLE trop grand conntrack
Next by thread: Re: Delai IDLE trop grand conntrack
Index(es):
- Date
- Thread