iptables + connection timemout

Koukni se na contract_table, tusim ze /proc/sys/net/ipv4/ip_contract nebo nekde v okoli... tam spocitej pocet radku wc -l /proc/sys/net/ipv4/ip_contract a porovnej s ip_contract_max, ktera je taky nekde pobliz... pokud jsou si hodnoty blizke, tak tam mas prilis mnoho spojeni, ktere jeste nevyprseli, coz zname bud P2P site, viry, nebo neco s hodne moc spojenimi

8.9.2006 09:36 caracho
Rozbalit Rozbalit vše Re: iptables + connection timeout

Takze chovani je jeste zajimavejsi.

ip_contract jsem nenasel, ale asi myslite /proc/net/ip_conntrack (ten se vejde kolikrat i na jednu obrazovku) a ip_conntrack_max je vzorne na 65528

V dobe seknuti konexe na 'lo' interfacu problem nemaji (apt-get update pres lokalni proxy), ale z venku ano (na vnitrni i vnejsi if - proxy/ssh)

Tvari se to tak, ze z toho FW skriptu pomaha vycisteni statistik (nutno jeste overit, zda to nebyla koincidence) chains=`cat /proc/net/ip_tables_names 2>/dev/null` for i in $chains; do /sbin/iptables -t $i -Z; done

Jinak z P2P siti tam je akorat skype a ten by mel chodit pres proxy.

8.9.2006 10:57 Jiří Snopek | skóre: 10 | blog: Jirkův blog
Rozbalit Rozbalit vše Re: iptables + connection timeout

neni mozne ze se ten skript, ktery obsahuje

chains=`cat /proc/net/ip_tables_names 2>/dev/null` for i in $chains; do /sbin/iptables -t $i -Z; done

spusti nejak automaticky a tim by vam mazal vsechny chainy a pak nastaval ten timeout?

8.9.2006 11:17 caracho
Rozbalit Rozbalit vše Re: iptables + connection timeout

Ne, je to tak, ze kdyz vynuluju pocitadla chainu (pres iptables -Z), tak se to zas rozjede. S pravidlama se nic nedeje. Divne.

8.9.2006 12:29 Jiří Snopek | skóre: 10 | blog: Jirkův blog
Rozbalit Rozbalit vše Re: iptables + connection timeout

jakou tam mate distribuci?

8.9.2006 12:34 caracho
Rozbalit Rozbalit vše Re: iptables + connection timeout

Debian stable. Kvuli novemu HW jadro 2.6.16 z backports.

Dotaz: iptables + connection timemout

Odpovědi