Re: Problem z ip_conntrack

To: <debian-user-polish@lists.debian.org>
Subject: Re: Problem z ip_conntrack
From: "Cezary Siwek" <cezary_siwek@yahoo.co.uk>
Date: Tue, 7 Sep 2004 21:02:05 +0100
Message-id: <[🔎] 000c01c49515$8d8c23c0$0a00a8c0@acervfr9okf50t>
References: <[🔎] 200409072013.36406.adam@rogal.homeunix.net>

----- Original Message -----From: "Adam Rogalski" <adam@rogal.homeunix.net>

To: <debian-user-polish@lists.debian.org>
Sent: Tuesday, September 07, 2004 7:13 PM
Subject: Problem z ip_conntrack

Witam
Nie znam się za bardzona iptables (tyle żeby postawić prosty nat)
Ostatnio w logach jednego z serwerów znalazłem komunikat:
Aug 16 17:05:40 serwer kernel: ip_conntrack: table full, dropping packet.
poszukiwania na google dały mi informację że za to odpowiedzialne
jest limit w  /proc/sys/net/ipv4/ip_conntrack_max   = 7168 dla tego serwera

Nie było by to większym problemem lecz limit ten dosyć szybko sięwyczerpujeNie wszystkie połączenia zostają prawidłowo zamknięte a iptablesstandartowo

przechowuje otwarte połączenia przez 5 dni
Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela
na google rozwiązania nie znalazłem (może żlee pytałem)


pewnie tak:  popatrz na wyniki sysctl -a   a potem odpowiednio to uzyj

Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np.10
tys połączeń co zaowocuje odmową serwera dostępu do sieci innym
użytkownikom ?


connlimit

Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem.


to zalezy od łącza,ruchu na nim i innych spraw. U mnie 32768 bylo za mało.

Pozdrawiam

ta takze

Adam Rogalski


Cezary Siwek

Reply to:

Follow-Ups:
- Re: Problem z ip_conntrack
  - From: Adam Rogalski <adam@rogal.homeunix.net>

References:
- Problem z ip_conntrack
  - From: Adam Rogalski <adam@rogal.homeunix.net>

Prev by Date: Re: brak możliwości uruchomienia konsoli pod X-ami
Next by Date: dwl-520 e1 i hostap - jakies jajca
Previous by thread: Problem z ip_conntrack
Next by thread: Re: Problem z ip_conntrack
Index(es):
- Date
- Thread