Hi Listige! Ein nmap Netzscan in ein lokales Netz/24 fuehrt dazu, dass eine versuchte Verbindung zu Port 80 laut iptables als "ESTABLISHED" erkannt wird und laut iptstate auch bleibt - leider mit den Folgen, dass durch das standardmaessig schon recht hoch eingestellte ip_conntrack_tcp_timeout_established conntrack eine erhebliche Anzahl von Verbindungen zu verwalten hat.
Und das, obwohl das angefragte Port/Host ja gar nicht existent ist. d.h. pro Subnet und Scan schon mal plus 253 conntrack Eintraege. Andere gescannte Ports bekommen hingegen gleich mal TIME_WAIT, scheint also nur httpd zu betreffen. Sollte die Verbindung nicht zurueckgestellt werden, da ja keine Packete mehr drueberwandern bzw. gar kein SYN/ACK retour kommen kann? iptables v1.2.11 auf sarge, selfrolled 2.4.27 Ist das ein Feature, ein Bug, oder was mache/denke ich da falsch?? sl ritch. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)