Re: Problem mit ip_conntrack: table full, dropping packet
Hello Enrico,
On Tue, 1 Nov 2005 13:11:14 +0100
Enrico Weigelt <weigelt@metux.de> wrote:
>
> Hi Leute,
>
>
> ich hab ein Problem mit ip_conntrack: und zwar bleiben bei mir
> nach dem Wechsel der IP-Adresse (die Box hängt hinterm DSL)
> dutzende connection-trackings liegen, die auch nicht wieder
> zugehen (oder es dauert einfach viel zu lange).
> Mittlerweile hat sich das schon auf jenseits 12k angestaut,
> wo mein Limit liegt. Somit wird bei mir jeglicher Traffic
> extrem instabil (es scheint sogar ICMP zu beeinträchtigen).
> Im syslog krieg ich o.g. Fehlermeldung.
>
> Freilich kann ich das Limit einfach bis ultimo hochsetzen, aber
> löst doch das Problem nicht.
>
> Wie kann ich alte Verbindungen (meinetwegen auch ganz bestimmte)
> oder evtl. auch alle auf einmal rauskicken ?
Die brutale Methode wäre das conntrack-Modul zu entladen und
wieder neu zu laden.
Vielleicht genügt es aber auch die "Lebenszeit" von Verbindungen
zu verkürzen. Entweder dauerhaft auf einen kleinen Wert oder um
die Table zu clearen nur mal kurzzeitig.
sysctl -a | grep conntrack
könnte hierzu einige Anregungen bieten.
Jörg
--
Jörg Schütter http://www.schuetter.org/joerg
joerg@schuetter.org http://www.lug-untermain.de/
Reply to: