On Tuesday 15 February 2005 16:08, Danail Petrov wrote:
> Здравейте група.
> Имам проблем с който не мога да се справя.
> Имам следният проблем:
>
> dmesg:
> [cut]
> ip_conntrack: table full, dropping packet.
> ip_conntrack: table full, dropping packet.
> ip_conntrack: table full, dropping packet.
> ip_conntrack: table full, dropping packet.
> ip_conntrack: table full, dropping packet.
> NET: 21 messages suppressed.
> ip_conntrack: table full, dropping packet.
> NET: 14 messages suppressed.
> ip_conntrack: table full, dropping packet.
> ip_conntrack: table full, dropping packet.
> [cut]
>
> [EMAIL PROTECTED]:/tmp# cat /proc/sys/net/ipv4/ip_conntrack_max
> 32200
Между другото ако си с 512 МВ числото би трябвало да е 32768 това е стойността
по подразбиране, функцията ipsysctl може да помогне
>
> [EMAIL PROTECTED]:/tmp# wc -l /proc/net/ip_conntrack
> 30383 /proc/net/ip_conntrack
>
> [EMAIL PROTECTED]:/tmp# cat /proc/net/ip_conntrack > /tmp/CONN
> [EMAIL PROTECTED]:/tmp# awk '{print $5}' CONN | sort | uniq -c | sort -rn
> | more
> 7032 src=x.x.x.x
> 2364 src=y.y.y.y
>
> от цялата тази дандания се вижда че този x.x.x.x , е запълнил голяма
> част от ip_conntract таблицата.x.x.x.x от един и същи порт ли прави заявката към тебе или непрекъснато си сменя порта? Към кой порт (сървър) на твоята машина става заявката? > Най-интересното е че този клиент е по PPPoE и няма регистрирано влизане > от близо 15 часа. Тоест , тези конекций са стари, и записите > не са изчезнали след като тсп-сесията е приключила. Порових на доста > места в гоогле , но не успях да достигна до някакво заключение . > > Някои да има идея за какво иде реч? проблем в кернел ? модул (на > иптаблес) ? > > исках да пробвам да изолирам този ИП (-j NOTRACK) като ползвам > таблицата 'raw' на иптаблес за да видя какво ще се получи, но както > казах по рано до въпросният няма връзка от 15 часа насам.... > Можеш да опиташ с това echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait (по подразбиране е 60) echo 640 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established (по подразбиране е 432000) пускай един tcpdump и гледай какво става. Можеш да сложиш (ако вече не си го направил) и нещо от сорта на snort или подобни програми. > Поздрави, > Данаил Петров > > > =========================================================================== >= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). > http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara > Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html > =========================================================================== >= -- Anton Bondoff Registered linux user #380705 at counter.li.org Public GnuPG at http://wwwkeys.pgp.net Fingerprint 47A4 4E41 E1BB C8CB 6904 2848 1557 D4DC A352 DA87
pgpINgswXfbzO.pgp
Description: PGP signature
