Witam Nie znam się za bardzona iptables (tyle żeby postawić prosty nat) Ostatnio w logach jednego z serwerów znalazłem komunikat: Aug 16 17:05:40 serwer kernel: ip_conntrack: table full, dropping packet. poszukiwania na google dały mi informację że za to odpowiedzialne jest limit w /proc/sys/net/ipv4/ip_conntrack_max = 7168 dla tego serwera Nie było by to większym problemem lecz limit ten dosyć szybko się wyczerpuje Nie wszystkie połączenia zostają prawidłowo zamknięte a iptables standartowo przechowuje otwarte połączenia przez 5 dni Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela na google rozwiązania nie znalazłem (może żlee pytałem) Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np. 10 tys połączeń co zaowocuje odmową serwera dostępu do sieci innym użytkownikom ? Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem.
Pozdrawiam Adam Rogalski
