sslug-teknik team mailing list archive

[Mogens Valentin <monz@xxxxxxxxx>]

Kristian Kallenberg wrote:
> On Thu, May 05, 2005 at 02:33:55PM +0200, Mogens Kjaer wrote:
>
> > Kristian Kallenberg wrote:
> > ...
> >
> >
> > > May  5 14:25:53 [kernel] ip_conntrack: table full, dropping packet.
> > >
> > > Det er vist i forhold til en ny version af bittorrent. Men hvad kan jeg
> > > gøre ved det?
> >
> > Google på "ip_conntrack: table full" så er der henvisning
> > til en FAQ. Du skal øge ip_conntrack_max
>
>
> Tak for hjælpen. Den nye klient opretter åbenbart MANGE forbindelser:
>
> riker root # cat /proc/net/ip_conntrack|wc
>   21568  409721 4438203


Der har været en diskussion på her på listen om at 
TCP_CONNTRACK_ESTABLISHED  er sat til 5 dage.

Når du har mange sessions åbne i op til 5 dage, løber din tabel fuld.
Det er rigtigt at du kan øge tabellen, men du kan (sandsynligvis) med 
godt resultat ændre de 5 dage til min. 2x fin_timeout.
Jeg har ændret det til 10 minutter. Nicio problema.

Fra min firewall opsætning:

      # Reduce TCP_CONNTRACK_ESTABLISHED from 5 days to 10mins:
          if ! lsmod |grep ip_conntrack >/dev/null; then
              $MODP ip_conntrack  # boot-time check, when iptables is 
not yet started
          fi
          echo "600" 
>/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established


$MODP er modprobe. Jeg er ikke sikker på om det er nok at teste på om 
ip_conntrack er loaded, måske skal der også testes for andre ting.
Hvis du får en fejl i opstarten, så check afhængigheder med lsmod.
Problemet viser sig kun under opstart efter reboot, og afhængig af hvor 
tidligt man starter sin firewall og loader proc settings.

Har først lige fået det på plads i de sidste par dage efter diskussioner 
på netfilter listen.

--
Kind regards,
Mogens Valentin


"Dad, what is the mind?
 The mind? What is the matter? Well, never mind."
  -- Homer Simpson