Re: Delai IDLE trop grand conntrack

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

Benjamin RIOU a écrit :
> > L'état TIME_WAIT indique que la connexion s'est terminée récemment.
>
> La connexion vers l'exterieur est elle fermée ou bien encore ouverte,
> finalement ?

Fermée, mais encore présente dans la table de suivi pendant un certains 
temps.

> Parce que si elle a été fermée par l'hôte, j'ai pas envie que ma
> passerelle garde (même pour deux minutes), la connexion.

Peu importe ce que fait ta passerelle. C'est ce que fait le suivi de 
connexion de l'upstream qui compte au final.

> > Et inutile de chercher à jouer sur
> > ip_conntrack_tcp_timeout_time_wait, puisque 'connlimit' ne comptabilise
> > pas les connexions dans cet état.
>
> Oui, mais si ca me limite le nombre de connexions TIME_WAIT ouvertes,
> on va passer de 2 minutes à 20 secondes !

Qu'est-ce que ça changera ?

> > Si ton but est de faire en sorte que 'connlimit' comptabilise les
> > connexions en cours à peu près de la même façon que l'upstream, il
> > faudrait modifier ipt_connlimit.c pour qu'il n'exclue pas les connexions
> > dans l'état TIME_WAIT. Ça présenterait au moins l'avantage de ne
> > pénaliser que les clients qui produisent beaucoup de ces connexions et
> > pas les autres.
>
> C'est quoi l'upstream ? Le flux montant ?

C'est le lien amont, le fournisseur de connectivité. Le FAI, quoi.

> Bah si les clients peuvent pas ouvrir plus de 20 connections par
> periode de 120 secondes, je crois que vais me faire tuer :-)

Si j'ai bien compris, le problème vient de ce que :
1) le fournisseur amont compte les connections TIME_WAIT ;
2) il a un time-out sur cet état trop long.

Et je ne vois pas ce que tu peux y faire, vu que tout ça se passe chez 
lui, pas chez toi.