Re: Problem z ip_conntrack
Dnia wtorek, 7 września 2004 22:02, Cezary Siwek napisał:
> >Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela
> >na google rozwiązania nie znalazłem (może żlee pytałem)
>
> pewnie tak: popatrz na wyniki sysctl -a a potem odpowiednio to uzyj
Dzięki ale nie widzę tu zmiennych odpowiedzialnych za czas pamiętania połączeń
Więc jedyną możliwością o jakiej wiem jest zmiana w
pliku /usr/src/linux/net/ipv4/netfilter/ip_conntrack_proto_tcp.c
Jeśli można załatwić to za pomocą sysctl to proszę o radę które zmienne są za
to odpowiedzialne? (jądro 2.4)
> >Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np.
> >10
> >tys połączeń co zaowocuje odmową serwera dostępu do sieci innym
> >użytkownikom ?
>
> connlimit
> >Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem.
>
> to zalezy od łącza,ruchu na nim i innych spraw. U mnie 32768 bylo za mało.
może tak ale na stronie netfilter zalecaną ilością połączeń jest 8192 dla 128M
pamięci serwera zresztą wyczytałem że jedno połączenie to 350 bajtów z
prostej kalkulacji wynika że przy zalecanej przez ciebie ilości wielkość
bufora wyniesie 10 MB a mój serwer oprócz natu dla ok 30 klientów chodzi
jeszcze apache z php poczta baza danych mysql squid i ftp, samba pełniąca
rolę kontrolera domeny i kilka kont shelowych więc trochę pamięci powinno mi
pozostać Dostęp do serwera mam zdalny więc wolałbym uniknąć kompilacji
kernela a jak na razie to nie widzę sposobu aby tego uniknąć. Pamiętanie
połączeń przez 5 dni jest dosyć na wyrost bo żaden z klientów nie chodzi
dłużej niż kilka godzin więc te 7168 to wcale nie było by za mało gdyby
wszystkie połączenia były zamykane lecz nie zawsze tak jest (myślę że winę
ponosi tu kazza i ine programy tego typu).
Pozdrawiam
Adam Rogalski
Reply to: