Am Donnerstag, 31. August 2006 06:23 schrieb Ulf Volmer:
> On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote:
> > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von
> > > > > der gestrigen IP.
> >
> > Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch
> > Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle
> > nicht gelöscht, während ppp0 down ist?
> >
> > Kann ich dort Einträge manipulieren/löschen?
> >
> > Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann
> > dabei was schiefgehen?
>
> rmmod ip_conntrack ; modprobe ip_conntrack
>
> BTW: Du kannst in
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
> den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein
> Problem.
Ja, das hatte ich gestern noch als zweiten Workaround gefunden:
#!/bin/sh
TIMEOUT=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout)
TIMEOUT_STREAM=$(cat
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream)
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
sleep 10
echo ${TIMEOUT} > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
echo ${TIMEOUT_STREAM}
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream
#EOF
Mein Versuch, die contrack-Tabelle zu manipulieren schlug leider fehl, weil
selbst root nicht da reinschreiben darf:
#!/bin/sh
OLD_IP=84\.179\.69\.240
CONNTRACK=$(cat /proc/net/ip_conntrack)
echo "${CONNTRACK}" | egrep -v "^udp.+${OLD_IP}" \
> /proc/net/ip_conntrack
#EOF
Daniel
