Re: ip_conntrack table
On Sun, 4 Dec 2005 12:18:21 +0100, Richard Mittendorfer
<delist@gmx.net> wrote:
>Also sprach "Felix M. Palmen" <zirias@despammed.com> (Sun, 4 Dec 2005
>10:22:34 +0100):
>> Was ist dann bei UPD-Verbindungen, die ja keinen dedizierten
>> Abbau-Mechanismus haben? Blockieren die alle für mindestens 5 Tage
>> einen Tabellen-Eintrag?
>
>ip_conntrack_udp_timeout
>
>Wie schon erkannt, ist udp "stateless" (keine "established" Verbindung).
Wenn ich mich richtig erinnere, hat Netfilter bei klassischem
"Frage-Antwort-UDP" einen recht kurzen Timeout, der bei Beobachtung
eines zweiten "Antwort"-Pakets drastisch erhöht wird. So erhofft man,
Streaminganwendungen zu erkennen.
Bei Amanda fällt dieses Verfahren auf die Schnauze, weil dort im
ersten Paket drin steht "schick mir mal eine Schätzung für die Größe
Deines Dateisystems /usr", in der Antwort steht "Ja, in Ordnung", und
wenn dann zehn Minuten später die eine Seite mit der Schätzung fertig
ist, ist die Session auf dem Paketfiler längst ausgetimed und das
Paket mit der "richtigen" Antwort zerschellt.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: