Re: Firewall/NAT TCP timeouts (Debian Kernel 2.4.26)
Hallo,
Tim Ruehsen <tim.ruehsen@gmx.de>:
>ich habe hier Probleme mit NATed TCP/IP Verbindungen von 'draussen'.
>Allerdings nur, wenn die Verbindung längere Zeit stehen bleibt und kein
>Traffic für ca. 1-2 Minuten erfolgt. Wenn dann der 'interne' Server ein
>Packet schickt, kommt sofort ein Antwortpacket mit 'RST' Flag gesetzt - die
>Verbindung wird dann geschlossen. Der Client bekommt überhaupt nichts mit -
>das Packet kommt also nicht von ihm sondern von der Firewall/NAT Modul.
Das ist kein übliches Verhalten des Linux NAT Codes. Hier liegt irgend
ein Problem vor.
>Es muß noch gesagt werden, daß vor meiner Firewall noch ein Router mit NAT
>sitzt (SpeedTouch 600series). Das Problem könnte also auch dort liegen.
Ich würde als erstes vermuten, dass nicht der Linux-Kernel, sondern
der Router die RST Pakete erzeugt. Hast Du das schon verifiziert?
Kann es sein, dass der Router Dial-on-Demand macht und nach
zweiminütiger Inaktivität eine neue IP-Nummer erhält? In diesem
Fall wären die Verbindungen über die alte IP-Nummer hinfällig.
>- Ist dieses Problem jemandem bekannt? Falls ja, ist es Router oder
>Linux-Firewall? Und wie läßt es sich 'richtig' beheben?
Wie gesagt, es ist kein normales Verhalten. Im Gegenteil, wenn Du es
nicht explizit verhinderst, dann überleben TCP-Verbindungen durch
eine iptables-basierte Firewall hindurch sogar einen Reboot des
Firewall-Rechners.
Wenn Du sicher bist, dass der Linux-Firewall schuld ist, dann solltest
Du mal die iptables-Regel schicken, dann kann man vielleicht mehr dazu
sagen.
>- Wie lasse ich mir die diesbezüglichen Timeouts von iptables (NAT) anzeigen?
>(Setzen geht angeblich nicht - früher mit ipchains ging es).
Du kannst mit "cat /proc/net/ip_conntrack" alle aktiven TCP Verbindungen
anzeigen lassen. Ein fixes Timeout gibt es nicht; das wird dynamisch
in Abhängigkeit von der Größe der Verbindungstabelle geregelt.
Gruß, Harald
--
Harald Weidner hweidner@gmx.net
Reply to: