Am Donnerstag, 31. August 2006 06:23 schrieb Ulf Volmer: > On Wed, Aug 30, 2006 at 01:44:33PM +0200, Daniel Musketa wrote: > > > > > Aber immer noch sendet iptables die Pakete aus dem Masquerading von > > > > > der gestrigen IP. > > > > Ich habe festgestellt, daß es in /proc/net/ip_conntrack immer noch > > Einträge gibt, die die alte externe IP enthalten. Warum wird die Tabelle > > nicht gelöscht, während ppp0 down ist? > > > > Kann ich dort Einträge manipulieren/löschen? > > > > Kann ich vielleicht das Modul ip_conntrack neu laden? Wenn ja, wie? Kann > > dabei was schiefgehen? > > rmmod ip_conntrack ; modprobe ip_conntrack > > BTW: Du kannst in > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream > den Timeout für UDP- Verbindungen runtersetzen. Evtl. umschifft das dein > Problem.
Ja, das hatte ich gestern noch als zweiten Workaround gefunden: #!/bin/sh TIMEOUT=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout) TIMEOUT_STREAM=$(cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream) echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout echo 0 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream sleep 10 echo ${TIMEOUT} > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout echo ${TIMEOUT_STREAM} > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream #EOF Mein Versuch, die contrack-Tabelle zu manipulieren schlug leider fehl, weil selbst root nicht da reinschreiben darf: #!/bin/sh OLD_IP=84\.179\.69\.240 CONNTRACK=$(cat /proc/net/ip_conntrack) echo "${CONNTRACK}" | egrep -v "^udp.+${OLD_IP}" \ > /proc/net/ip_conntrack #EOF Daniel