[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [iptables] Falsche From-IP bei NAT nach IP-Wechsel



Am Donnerstag, 31. August 2006 06:23 schrieb Ulf Volmer:
> On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote:
> > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von
> > > > > der gestrigen IP.
> >
> > Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch
> > Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle
> > nicht gelöscht, während ppp0 down ist?
> >
> > Kann ich dort Einträge manipulieren/löschen?
> >
> > Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann
> > dabei was schiefgehen?
>
> rmmod ip_conntrack ; modprobe ip_conntrack
>
> BTW: Du kannst in
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
> den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein
> Problem.

Ja, das hatte ich gestern noch als zweiten Workaround gefunden:

#!/bin/sh
TIMEOUT=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout)
TIMEOUT_STREAM=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream)
        
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

sleep 10

echo ${TIMEOUT} > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo ${TIMEOUT_STREAM} 
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

#EOF



Mein Versuch, die contrack-Tabelle zu manipulieren schlug leider fehl, weil 
selbst root nicht da reinschreiben darf:

#!/bin/sh
OLD_IP=84\.179\.69\.240
CONNTRACK=$(cat /proc/net/ip_conntrack)
echo "${CONNTRACK}" | egrep -v "^udp.+${OLD_IP}" \
    > /proc/net/ip_conntrack
#EOF


Daniel



Reply to: