Re: Problem z ip_conntrack
----- Original Message -----
From: "Adam Rogalski" <adam@rogal.homeunix.net>
To: <debian-user-polish@lists.debian.org>
Sent: Tuesday, September 07, 2004 7:13 PM
Subject: Problem z ip_conntrack
Witam
Nie znam się za bardzona iptables (tyle żeby postawić prosty nat)
Ostatnio w logach jednego z serwerów znalazłem komunikat:
Aug 16 17:05:40 serwer kernel: ip_conntrack: table full, dropping packet.
poszukiwania na google dały mi informację że za to odpowiedzialne
jest limit w /proc/sys/net/ipv4/ip_conntrack_max = 7168 dla tego serwera
Nie było by to większym problemem lecz limit ten dosyć szybko się
wyczerpuje
Nie wszystkie połączenia zostają prawidłowo zamknięte a iptables
standartowo
przechowuje otwarte połączenia przez 5 dni
Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela
na google rozwiązania nie znalazłem (może żlee pytałem)
pewnie tak: popatrz na wyniki sysctl -a a potem odpowiednio to uzyj
Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np.
10
tys połączeń co zaowocuje odmową serwera dostępu do sieci innym
użytkownikom ?
connlimit
Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem.
to zalezy od łącza,ruchu na nim i innych spraw. U mnie 32768 bylo za mało.
Pozdrawiam
ta takze
Adam Rogalski
Cezary Siwek
Reply to: