Re: ip_conntrack table
Also sprach "Felix M. Palmen" <zirias@despammed.com> (Sun, 4 Dec 2005
10:22:34 +0100):
> * Micha Beyer <Meinerseins@worldonline.de> [20051203 13:25]:
> > Welcher Wert steht denn bei Dir in
> >
> > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established?
> >
> > Bei mir stand da was von 5 Tagen, in Sekunden natürlich. Ich habe dann die
> > Zeit auf 10 Minuten runtergesetzt.
>
> Hmmm gehe ich richtig in der Annahme, dass das die Zeit ist, nach der
> eine Verbindung aus der conntrack-table gelöscht wird wenn der Router
> keine Pakete mehr gesehen hat, /obwohl/ sie im Zustand ESTABLISHED ist?
Eine Regel wird "established" und bleibt dann fuer diese Zeit in diesem
Zustand aufrechterhalten, /es sein denn/ die Verbindung wird
zurueckgesetzt.
> Was ist dann bei UPD-Verbindungen, die ja keinen dedizierten
> Abbau-Mechanismus haben? Blockieren die alle für mindestens 5 Tage
> einen Tabellen-Eintrag?
ip_conntrack_udp_timeout
Wie schon erkannt, ist udp "stateless" (keine "established" Verbindung).
> Kann mir jemand sagen, was die Motivation für einen derart hohen
> Default-Wert ist?
Find ich ganz praktisch: ich hole mir ein Prorgamm vom schnellen
Desktop auf den alten/langsamen Libretto, suspende ihn, und wenn ich
ihn einen Tag spaeter wieder aufwecke laesst sich (meist)
weiterarbeiten.
Brauch ich dieses "feature" nicht, kann man/frau ja das timeout
runtersetzen - und im Falle von andauernten nmap's durchs Netz, kann
ich einen kleineren Wert nur empfehlen, da sonst der table ordentlich
anwaechst.
sl ritch
Reply to: