Re: Où se trouve la doc pour lire la sortie de /proc/net/ip_conntrack ?
Bonjour Le 27/12/2013 08:58, Olivier a écrit : Bonjour, Où se trouve la doc de Debian pour lire la sortie de /proc/net/ip_conntrack ? Une bonne doc se trouve a cette adresse http://www.inetdoc.net/guides/iptables-tutorial/theconntrackentries.html Bonne lecture Denis -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/52bd3578.2040...@orange.fr
Où se trouve la doc pour lire la sortie de /proc/net/ip_conntrack ?
Bonjour, Où se trouve la doc de Debian pour lire la sortie de /proc/net/ip_conntrack ? J'imaginais quelque chose comme "man ip_conntrack". Plus généralement, comment se documenter en ligne sur /proc et ses sorties ? Sts
Re: Vidage de table ip_conntrack
On Mon, 02 May 2005 01:15:23 +0200, "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> wrote : Salut ! > > Le véritable problème est que en attendant j'aurais aimé vidé la > > table ip_conntrack sans devoir rebooter. Une brève recherche sur > > google me dit qu'il faut tout simplement que je décharge le module > > ip_conntrack. Seulement voilà celui-ci dépend de ipt_state et de > > iptable_nat et > > C'est plutôt l'inverse : ipt_state et iptable_nat dépendent de > ip_conntrack. Oui pardon, je me suis trompé de sens... > > ceux-là je n'arrive pas à les décharger avec rmmod car apparemment > > ils sont utilisés (ou indisponibles ?) mais je ne sais pas par qui : > > > :/var/log# lsmod > > Module Size Used by > [...] > > ipt_state 1408 24 > > iptable_mangle 2080 0 > > iptable_nat22088 1 > > ip_conntrack 40596 2 ipt_state,iptable_nat > > iptable_filter 2848 1 > > ip_tables 16576 4 > > ipt_state,iptable_mangle,iptable_nat,iptable_filter > > Tiens, tu n'utilises pas les modules ip_conntrack_ftp et ip_nat_ftp > pour ne pas avoir de problème avec les connexions FTP ? Ah j'avoue que non. Je ne me suis jamais trop intéressé aux connexions FTP car je n'en fais très très rarement sauf pour récupérer de temps en temps le nouveau noyau/gcc/live CD (et même dans ces cas là j'essaye maintenant de plutôt utiliser bittorrent via mldonkey justement). En tous les cas c'est toujours moi qui initie la connexion donc je n'ai pas jugé nécessaire d'écrire des règles spécifiques pour le FTP... C'est 'dangereux' ce raisonnement ? > > > rmmod ipt_state ou rmmod iptable_nat me donne le message d'erreur > > suivant : ERROR: Module iptable_nat is in use > > J'ai essayé virer tous les modules, mais à la fin je n'ai > > pratiquement plus rien et ces deux là ne veulent toujours pas partir > > même avec l'option -f : > > ERROR: Removing 'iptable_nat': Resource temporarily unavailable > > > > Donc quelqu'un pourrait-il me donner une explication et/ou une > > méthode pour décharger ces modules ? > > ipt_state est utilisé par les règles iptables contenant une > correspondance "-m state". iptable_nat est utilisé par les règles > iptables contenant une cible "-j DNAT" ou "-j SNAT". Il faut supprimer Ah ok merci du tuyau. J'ai fait un 'iptables -t filter -F' pour vider la table filter et enlever ipt_state et un 'iptables -t nat -F' pour enlever iptable_nat. Ce qui m'a permis d'enlever ip_conntrack et de ré-initialiser la table ip_conntrack > toutes ces règles pour pouvoir décharger ces modules. > > > Ou une autre méthode pour vider la table ip_conntrack ? > > S'il en existe une, je l'ignore mais je suis intéressé. Tu as essayé > de baisser /proc/sys/net/ipv4/ip_conntrack_max très bas ? > Pour ensuite le remettre à son niveau initial ? Non j'avoue que non, je vais essayer dès que ma table sera de nouveau remplie (parce que du coup je viens de la vider là... ;-)). Bizarre quand même ce remplissage de table à outrance... Qu'est-ce qu'il me fabrique ce mldonkey ? Au fait tu ne saurais pas par hasard pourquoi on a mis cette valeur élevée de 5 jours pour le timeout des connexions ? En tout cas merci, je n'aurais plus besoin de rebooter ! -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Vidage de table ip_conntrack
Salut, Olive a écrit : Le véritable problème est que en attendant j'aurais aimé vidé la table ip_conntrack sans devoir rebooter. Une brève recherche sur google me dit qu'il faut tout simplement que je décharge le module ip_conntrack. Seulement voilà celui-ci dépend de ipt_state et de iptable_nat et C'est plutôt l'inverse : ipt_state et iptable_nat dépendent de ip_conntrack. ceux-là je n'arrive pas à les décharger avec rmmod car apparemment ils sont utilisés (ou indisponibles ?) mais je ne sais pas par qui : :/var/log# lsmod Module Size Used by [...] ipt_state 1408 24 iptable_mangle 2080 0 iptable_nat 22088 1 ip_conntrack 40596 2 ipt_state,iptable_nat iptable_filter 2848 1 ip_tables 16576 4 ipt_state,iptable_mangle,iptable_nat,iptable_filter Tiens, tu n'utilises pas les modules ip_conntrack_ftp et ip_nat_ftp pour ne pas avoir de problème avec les connexions FTP ? rmmod ipt_state ou rmmod iptable_nat me donne le message d'erreur suivant : ERROR: Module iptable_nat is in use J'ai essayé virer tous les modules, mais à la fin je n'ai pratiquement plus rien et ces deux là ne veulent toujours pas partir même avec l'option -f : ERROR: Removing 'iptable_nat': Resource temporarily unavailable Donc quelqu'un pourrait-il me donner une explication et/ou une méthode pour décharger ces modules ? ipt_state est utilisé par les règles iptables contenant une correspondance "-m state". iptable_nat est utilisé par les règles iptables contenant une cible "-j DNAT" ou "-j SNAT". Il faut supprimer toutes ces règles pour pouvoir décharger ces modules. Ou une autre méthode pour vider la table ip_conntrack ? S'il en existe une, je l'ignore mais je suis intéressé. Tu as essayé de baisser /proc/sys/net/ipv4/ip_conntrack_max très bas ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Vidage de table ip_conntrack
Bonjour, J'ai depuis quelques jours un problème bizarre sur ma Debian Testing : j'ai souvent des messages du genre : "ip_conntrack: table full, dropping packet" après quelques heures de connexion à internet. Si je regarde /proc/net/ip_conntrack je me rends compte que c'est à cause du p2p (j'utilise mldonkey) que la table se remplie à vue d'oeil. La plupart des lignes étant du genre : tcp 6 418365 ESTABLISHED src=138.26.60.187 dst=213.103.52.217 sport=3049 dport=6882 src=213.103.52.217 dst=138.26.60.187 sport=6882 dport=3049 [ASSURED] use=1 Pourtant dans /proc/sys/net/ipv4/ip_conntrack_max j'ai un seuil assez haut : 20472 et dans /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established j'ai le seuil classique de 5 jours. Bon je vais commencer à jeter un oeil à mldonkey pour voir pourquoi il me mets toutes ces connexions en pagaille (alors que ça fait plus d'un an que je l'utilise sans problème) et je vais peut-être baisser le seuil d'abandon de la connexion à 1 jour au lieu de 5 jours, d'ailleurs si quelqu'un pouvait m'expliquer pourquoi on a par défaut 5 jours, ça me semble un peu élevé (moi j'aurais mis quelques heures...). Le véritable problème est que en attendant j'aurais aimé vidé la table ip_conntrack sans devoir rebooter. Une brève recherche sur google me dit qu'il faut tout simplement que je décharge le module ip_conntrack. Seulement voilà celui-ci dépend de ipt_state et de iptable_nat et ceux-là je n'arrive pas à les décharger avec rmmod car apparemment ils sont utilisés (ou indisponibles ?) mais je ne sais pas par qui : :/var/log# lsmod Module Size Used by km_drv 39576 0 km_api_drv 14932 1 km_drv pwc80084 0 ipt_state 1408 24 iptable_mangle 2080 0 iptable_nat22088 1 ip_conntrack 40596 2 ipt_state,iptable_nat iptable_filter 2848 1 ip_tables 16576 4 ipt_state,iptable_mangle,iptable_nat,iptable_filter ppp_deflate 4832 0 zlib_deflate 21720 1 ppp_deflate bsd_comp5344 0 ppp_async 9184 1 crc_ccitt 1632 1 ppp_async ppp_generic22132 7 ppp_deflate,bsd_comp,ppp_async slhc6336 1 ppp_generic rmmod ipt_state ou rmmod iptable_nat me donne le message d'erreur suivant : ERROR: Module iptable_nat is in use J'ai essayé virer tous les modules, mais à la fin je n'ai pratiquement plus rien et ces deux là ne veulent toujours pas partir même avec l'option -f : ERROR: Removing 'iptable_nat': Resource temporarily unavailable Donc quelqu'un pourrait-il me donner une explication et/ou une méthode pour décharger ces modules ? Ou une autre méthode pour vider la table ip_conntrack ? Merci d'avance, -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
* brunoml <[EMAIL PROTECTED]> [2005-02-06 02:09] : > Frédéric Bothamy wrote: > >* brunoml <[EMAIL PROTECTED]> [2005-02-04 22:55] : > > > >>Frédéric Bothamy wrote: [...] > >>Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas > >>d'autre solution > >>Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant). > >>Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce > >>serveur. > > > > > >Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la > >machine, la commande indiquée ci-dessous devrait fonctionner à distance > >et sans couper la connexion ssh. > > Ah bon, je peux démonter les interfaces réseaux sans être déconnecté ??? Oui, mais uniquement si tu utilises une connexion ssh. C'est d'ailleurs pour cela que la bonne façon de mettre un système Debian à jour sur une machine distante est d'utiliser ssh, tout autre type de connexion (telnet, XDM) peut être coupé par la mise à jour. > L'écran n'est nécessaire que s'il y a > >un problème dans l'exécution des commandes (mais, c'est pareil si tu as > >un problème lors du redémarrage). > > Je ne comprend pas bien... Et bien, si ton système se bloque au démarrage, il te faudra bien brancher un écran pour diagnostique le problème, mais je diverge... > >>Pour information, ma table ip_conntrack s'est subitment remplie entre > >>dimanche soir et lundi matin : mes logs indiquent un nombre important de > >>tentive de connexion sur mon serveur par ssh (je vois plein de login > >>avec des users fantaisistes...) > > > > > >Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les > >bloquer avant l'ouverture de l'authentification SSH... > > Un motif ? Non, c'est 4 ou 5 adresses IP différentes dans ip_conntrack. > Par contre, dans /var/log/auth.log il y a eu plein de tentative de > connexion avec des noms d'utilisateurs n'existants pas sur mon système > (ils semblent tirés d'un annuaires de noms...). Mais les adresses IP > sont différentes de celles de ip_conntrack... je ne comprend pas tout. Je ne connais pas assez ip_conntrack pour savoir d'où vient cette différence. Le mécanisme simple hosts_access peut te permettre de n'autoriser la connexion ssh que depuis certaines adresses IP bien précises avec une ligne comme ceci dans /etc/hosts.allow : sshd: XXX.XXX.XXX.XXX (avec le ou les adresses IP à autoriser) et une ligne comme ceci dans /etc/hosts.deny : sshd: ALL Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
Frédéric Bothamy wrote: * brunoml <[EMAIL PROTECTED]> [2005-02-04 22:55] : Frédéric Bothamy wrote: * brunoml <[EMAIL PROTECTED]> [2005-02-04 14:21] : [...] Je me connecte à ce serveur par ssh (pas d'écran). Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses interfaces réseaux. Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...) Normalement, cette commande : ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas certain à 100 % du résultat des commandes, tu peux remplacer le dernier "&&" par un ";", ainsi les interfaces réseau seront de toute façon redémarrées. Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas d'autre solution Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant). Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce serveur. Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la machine, la commande indiquée ci-dessous devrait fonctionner à distance et sans couper la connexion ssh. Ah bon, je peux démonter les interfaces réseaux sans être déconnecté ??? L'écran n'est nécessaire que s'il y a un problème dans l'exécution des commandes (mais, c'est pareil si tu as un problème lors du redémarrage). Je ne comprend pas bien... Pour information, ma table ip_conntrack s'est subitment remplie entre dimanche soir et lundi matin : mes logs indiquent un nombre important de tentive de connexion sur mon serveur par ssh (je vois plein de login avec des users fantaisistes...) Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les bloquer avant l'ouverture de l'authentification SSH... Un motif ? Non, c'est 4 ou 5 adresses IP différentes dans ip_conntrack. Par contre, dans /var/log/auth.log il y a eu plein de tentative de connexion avec des noms d'utilisateurs n'existants pas sur mon système (ils semblent tirés d'un annuaires de noms...). Mais les adresses IP sont différentes de celles de ip_conntrack... je ne comprend pas tout. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
* brunoml <[EMAIL PROTECTED]> [2005-02-04 22:55] : > Frédéric Bothamy wrote: > >* brunoml <[EMAIL PROTECTED]> [2005-02-04 14:21] : [...] > >>Je me connecte à ce serveur par ssh (pas d'écran). > >>Je voulais donc éviter de le redémarrer et je ne peux non plus decendre > >>ses > >>interfaces réseaux. > >>Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...) > > > > > >Normalement, cette commande : > > > >ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a > > > >devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas > >certain à 100 % du résultat des commandes, tu peux remplacer le dernier > >"&&" par un ";", ainsi les interfaces réseau seront de toute façon > >redémarrées. > > Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas > d'autre solution > Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant). > Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce > serveur. Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la machine, la commande indiquée ci-dessous devrait fonctionner à distance et sans couper la connexion ssh. L'écran n'est nécessaire que s'il y a un problème dans l'exécution des commandes (mais, c'est pareil si tu as un problème lors du redémarrage). > Pour information, ma table ip_conntrack s'est subitment remplie entre > dimanche soir et lundi matin : mes logs indiquent un nombre important de > tentive de connexion sur mon serveur par ssh (je vois plein de login > avec des users fantaisistes...) Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les bloquer avant l'ouverture de l'authentification SSH... Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
Frédéric Bothamy wrote: * brunoml <[EMAIL PROTECTED]> [2005-02-04 14:21] : On 4 Feb 2005 at 8:45, Vincent Bernat wrote: OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février 2005, vers 23:48, brunoml <[EMAIL PROTECTED]> disait: Ma table ip_conntrack est staturée et je voudrais la vider plutôt que d'augmenter sa taille. Comment puis-je faire ? Tu peux décharger le module ip_conntrack. Cela nécessite de mettre down toutes les interfaces. Je me connecte à ce serveur par ssh (pas d'écran). Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses interfaces réseaux. Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...) Normalement, cette commande : ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas certain à 100 % du résultat des commandes, tu peux remplacer le dernier "&&" par un ";", ainsi les interfaces réseau seront de toute façon redémarrées. Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas d'autre solution Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant). Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce serveur. Pour information, ma table ip_conntrack s'est subitment remplie entre dimanche soir et lundi matin : mes logs indiquent un nombre important de tentive de connexion sur mon serveur par ssh (je vois plein de login avec des users fantaisistes...) -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
* brunoml <[EMAIL PROTECTED]> [2005-02-04 14:21] : > On 4 Feb 2005 at 8:45, Vincent Bernat wrote: > > OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février > > 2005, vers 23:48, brunoml <[EMAIL PROTECTED]> disait: > > > > > Ma table ip_conntrack est staturée et je voudrais la vider plutôt que > > > d'augmenter sa taille. > > > Comment puis-je faire ? > > > > Tu peux décharger le module ip_conntrack. Cela nécessite de mettre > > down toutes les interfaces. > > Je me connecte à ce serveur par ssh (pas d'écran). > Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses > interfaces réseaux. > Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...) Normalement, cette commande : ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas certain à 100 % du résultat des commandes, tu peux remplacer le dernier "&&" par un ";", ainsi les interfaces réseau seront de toute façon redémarrées. Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Comment signaler efficacement un bug ? http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Comment flusher ip_conntrack
On 4 Feb 2005 at 8:45, Vincent Bernat wrote: > OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février > 2005, vers 23:48, brunoml <[EMAIL PROTECTED]> disait: > > > Ma table ip_conntrack est staturée et je voudrais la vider plutôt que > > d'augmenter sa taille. > > Comment puis-je faire ? > > Tu peux décharger le module ip_conntrack. Cela nécessite de mettre > down toutes les interfaces. Je me connecte à ce serveur par ssh (pas d'écran). Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses interfaces réseaux. Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...) > -- > BOFH excuse #400: > We are Microsoft. What you are experiencing is not a problem; it is an > undocumented feature. > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Bruno
Re: Comment flusher ip_conntrack
OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février 2005, vers 23:48, brunoml <[EMAIL PROTECTED]> disait: > Ma table ip_conntrack est staturée et je voudrais la vider plutôt que > d'augmenter sa taille. > Comment puis-je faire ? Tu peux décharger le module ip_conntrack. Cela nécessite de mettre down toutes les interfaces. -- BOFH excuse #400: We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Comment flusher ip_conntrack
Bonsoir, Ma table ip_conntrack est staturée et je voudrais la vider plutôt que d'augmenter sa taille. Comment puis-je faire ? Merci. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ip_conntrack full
Mourad Jaber <[EMAIL PROTECTED]> disait récemment : > Merci pour l'info, c'est justement xmule qui pollue mon ip_conntrack > Je vais recompiler pour voir... > Sinon, j'ai essayé de deloader le module ip_conntrack, mais j'ai une > réponse Device or resource busy donc c'est pas vraiment possible :( à > moins qu'il existe un moyen de forcer le déchargement mais je ne > connais pas. il faut vider les régles d'iptables avant de pouvoir le décharger. # iptables -F # iptables -X # iptables -t nat -F devraient suffir. (n'oublie pas de remettre les régles à ACCEPT par défaut avant !) > @ + > > Mourad >
Re: ip_conntrack full
Merci pour l'info, c'est justement xmule qui pollue mon ip_conntrack Je vais recompiler pour voir... Sinon, j'ai essayé de deloader le module ip_conntrack, mais j'ai une réponse Device or resource busy donc c'est pas vraiment possible :( à moins qu'il existe un moyen de forcer le déchargement mais je ne connais pas. @ + Mourad olivier wrote: Mourad Jaber <[EMAIL PROTECTED]> disait récemment : bonjour, C'est un peu la suite de mon précédent post voilà une semaine J'ai le messge de ip_conntrack full dropping packet or, j'ai fermé l'application qui à généré les connection voilà une demi journée, tout ce passe comme si ip_conntrack continuait à entretenir la connection alors qu'elle n'existe plus... J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des connections qui sont maintenu vers la machine ou tournait l'application problematique... Quelqu'un connaitrai un moyen de réinitialiser ip_conntrack, mis à part relancer la machine passerelle ? Merci Tu peux toujours essayer de charger/decharger les modules ip_conntrack et cie, ça marche mais c'est loin d'être une solution viable. Y'a moyen de faire mieux: apparement, par defaut, netfilter a un timeout sur connexions tcp dites 'établies' de 5 jours... Et certains programmes (xmule, pour ne pas le citer), ont tendance à oublier la partie 'nettoyage'. (en 1 jour 1/2, je monte facilement à 6000 cxs, ma limite). En baissant le timeout à 2-3 heures environ, ca passe sans probléme. Pour le baisser, va faire un tour sur: http:°www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html#TCP et descend dans la section timeout. Recompile le module/kernel, et tout devrait bien aller... Mourad
Re: ip_conntrack full
Mourad Jaber <[EMAIL PROTECTED]> disait récemment : > bonjour, > C'est un peu la suite de mon précédent post voilà une semaine > J'ai le messge de ip_conntrack full dropping packet or, j'ai fermé > l'application qui à généré les connection voilà une demi journée, tout > ce passe comme si ip_conntrack continuait à entretenir la connection > alors qu'elle n'existe plus... > J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des > connections qui sont maintenu vers la machine ou tournait > l'application problematique... Quelqu'un connaitrai un moyen de > réinitialiser ip_conntrack, mis à part relancer la machine passerelle ? > Merci Tu peux toujours essayer de charger/decharger les modules ip_conntrack et cie, ça marche mais c'est loin d'être une solution viable. Y'a moyen de faire mieux: apparement, par defaut, netfilter a un timeout sur connexions tcp dites 'établies' de 5 jours... Et certains programmes (xmule, pour ne pas le citer), ont tendance à oublier la partie 'nettoyage'. (en 1 jour 1/2, je monte facilement à 6000 cxs, ma limite). En baissant le timeout à 2-3 heures environ, ca passe sans probléme. Pour le baisser, va faire un tour sur: http:°www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html#TCP et descend dans la section timeout. Recompile le module/kernel, et tout devrait bien aller... > Mourad -- standards, n.: The principles we use to reject other people's code.
Re: ip_conntrack full
Bonjour, Le 28/07/03 15:24, Mourad Jaber a écrit tout plein de choses, dont : > J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des > connections qui sont maintenu vers la machine ou tournait l'application > problematique... Quelqu'un connaitrai un moyen de réinitialiser > ip_conntrack, mis à part relancer la machine passerelle ? Au pif essayer de descendre puis remonter l'interface réseau, peut-être ? # ifdown $ETH # ifup $ETH Sinon, il y a de toutes façons un timeout (la troisième colonne). A+ -- moku <[EMAIL PROTECTED]> http://www.projectshirow.net/ Je vends ! -> http://moku.free.fr/a_la_vente.html
ip_conntrack full
bonjour, C'est un peu la suite de mon précédent post voilà une semaine J'ai le messge de ip_conntrack full dropping packet or, j'ai fermé l'application qui à généré les connection voilà une demi journée, tout ce passe comme si ip_conntrack continuait à entretenir la connection alors qu'elle n'existe plus... J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des connections qui sont maintenu vers la machine ou tournait l'application problematique... Quelqu'un connaitrai un moyen de réinitialiser ip_conntrack, mis à part relancer la machine passerelle ? Merci Mourad
Re: Ip_conntrack
> Comment augmenter la taille de l'ip_conntrack ? # echo '8192' > /proc/sys/net/ipv4/ip_conntrack_max ou alors net.ipv4.ip_conntrack_max=8192 dans /etc/sysctl.conf Le nb de conn maxi est fct de la mémoire de la bécane : 64Mo=4096, 128Mo=8192... > Comment faire en sorte que la saturation de l'ip_conntrack n'empeche pas > le fonctionnement ( même dégradé )du reste du réseau. net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_keepalive_time = 1800 > Merci De rien Gorguth
Ip_conntrack
Bonjour, J'ai une passerelle en woody ave iptables pour le filtrage des paquets. J'ai des regle de nat pour autoriser sur une des machines le protocole edonkey. Jusque recement, tout fonctionnais correctement, mais ayant des message "bizarre" sur le ping ( operation not permit ) j'ai regarder de plus prés pour m'apercevoir que le syslog est rempli de ip_conntrack full dropping packets ! J'ai 2 questions : Comment augmenter la taille de l'ip_conntrack ? Comment faire en sorte que la saturation de l'ip_conntrack n'empeche pas le fonctionnement ( même dégradé )du reste du réseau. J'ai un noyau 2.4.21 compilé avec QoS et iptables en modules. Merci Mourad
