Portál AbcLinuxu, 7. prosince 2025 15:57


Dotaz: zakazani conntrack na Ovislinku 1120

1.9.2005 16:58 Rozik | skóre: 14
zakazani conntrack na Ovislinku 1120
Přečteno: 262×
Odpovědět | Admin
Zdravim. V posledni dobe mi ovisek zacal propoustet "pingy", jak se mu zlibilo. Po nekolika resetech, ktere to vzdy vyresily, jsem zjistil z vypisu jadra, ze ma plnou conntrack tabulku. Nevite nekdo, jak prinutit Linux, aby ji vubec nepouzival? (Nat nepouzivam a preci jenom ten Ovislink ma jen 4MB RAM a tak se "zasekava" pomerne casto.) V ovislinku je firmware od Lukyce.
-- Zadny uceny z nebe nespad --
Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

1.9.2005 18:29 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Odpovědět | | Sbalit | Link | Blokovat | Admin
a jadro je tam 2.4.18-MIPS-01.00.
-- Zadny uceny z nebe nespad --
1.9.2005 20:00 Evka | skóre: 13 | Ostrava
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Zkus zjistit co tu tabulku plni, to je rozumnejsi nez hledat jak ji zrusit, predpokladam ze nejaky BUF ma vir a laduje na portu 139 nebo 445 nejaky vir bordel
Use windowsXP or better!! I use Kubuntu.
1.9.2005 20:08 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
plni to DC protokol - bohuzel jsem si uz toho vedom...
-- Zadny uceny z nebe nespad --
1.9.2005 20:18 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
navic tu tabulku vazne nepotrebuju, protoze tam nat nepouzivam, takze je pro me rozumejsi ji vyradit z provozu, nez usmernovat tok paketu.
-- Zadny uceny z nebe nespad --
1.9.2005 19:39 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Odpovědět | | Sbalit | Link | Blokovat | Admin
nestacilo by snizit ttl tech spojeni? ... take jsem s tim mel problemy, kdyz mi nekolikrat spadla emula a pokazde zanechala asi 400 spojeni, a ve vychozim stavu si to ta spojeni pamatuje asi tyden ;)

hledal bych v /proc/sys/net/ipv4/netfilter (soubor ip_conntrack_tcp_timeout_established) ... ale na 2.4 jadru nevim
Urine should only be green if you're Mr. Spock.
1.9.2005 20:15 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Tak nic takoveho jsem tam nenasel :-(. Jedine, co znelo prijatelne je soubor ip_conntrack_max (to mi asi moc platne nebude, pac bych rekl, ze to akorat jeste vice omezim) a soubor ip_default_ttl, kde je hodnota 64 a netusim k cemu se vaze.
-- Zadny uceny z nebe nespad --
4.9.2005 01:47 kupe | skóre: 7
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
ako sa da znizit a zvysit TTL ? Dakujem
4.9.2005 06:37 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
zapsanim hodnoty do toho souboru? samozrejme pokud existuje, ale obavam se ze to je zalezitost pouze novejsiho conntracku v 2.6 jadrech
Urine should only be green if you're Mr. Spock.
1.9.2005 20:16 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nekde jsem slysel, ze se to da snad nejak zakazat pres iptables, ale nevite jak?
-- Zadny uceny z nebe nespad --
2.9.2005 10:47 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Stačí v pravidlech firewallu nepoužívat State extension (-m state). Ovšem jestli vám stačí stateless firewall, to netuším...
2.9.2005 11:22 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Na tom oviskovi jsou iptables uplne prazdne. Firewall je az na routeru za nim :-(.
-- Zadny uceny z nebe nespad --
2.9.2005 09:55 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nevite alespon, jak tu ip_conntrack table vyprazdnit? Zkousel jsem cat "" > /proc/net/ip_conntrack, ale to nezabira :(.
-- Zadny uceny z nebe nespad --
4.9.2005 01:45 kupe | skóre: 7
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
mozno

cat /dev/null > SUBOR
4.9.2005 10:41 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
To jsem si myslel taky, ale bohuzel - bud jej okamzite obnovi a oni se tam zpet zapisou, nebo se to proste neprovede. Take jsem to zkousel pres echo "" > soubor, coz melo stejny vysledek.
-- Zadny uceny z nebe nespad --
4.9.2005 06:35 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
pokud je to jako modul tak mozna odebranim modulu, pokud nebude busy
Urine should only be green if you're Mr. Spock.
4.9.2005 10:43 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Bohuzel je ten modul zakompilovan jiz v jadre :-( :-( Take me to napadlo..., ale i tak diky moc za radu ;-)
-- Zadny uceny z nebe nespad --
2.9.2005 11:36 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
Odpovědět | | Sbalit | Link | Blokovat | Admin
A jeste je hacek v tom, ze veze iptables je tam v1.2.6a,ktera neumi pracovat s IPTABLES -A XXX -m conntrack... :-(
-- Zadny uceny z nebe nespad --
2.9.2005 11:37 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: zakazani conntrack na Ovislinku 1120
a modul ip_conntrack je zakompilovan jiz v jadre :-(
-- Zadny uceny z nebe nespad --

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.