ip_conntrack

[Martin Kejik]

> Peter Surda píše:
> > Ja by som povedal, ze skus novsie jadro, 2.4.0-2.4.16 moc neodporucam,
furt s
> > nimi boli problemy.

> Nezlobte se na mě, ale takováhle věta je naprosto k ničemu. Můžete
> uvést něco podrobnějšího? Spousta lidí používá jádra z tohoto rozsahu (i
> když určitě ne z jeho začátku) a jsou celkem spokojení.>
> --Zdeněk Pytela, <letty na mrakoplas.phil.muni.cz>

Mate naprostou pravdu. Nas firewall je staricka 486DX2 s 16 MB RAM, jadro
2.4.6 a funguje k plne spokojenosti.

Problem s "ip_conntrack: maximum limit of  2048 entries exeeded" se u nas
vyskytl take.
Jedna se o problem stroju s malou fyzickou RAM. Podle velikosti RAM se
automaticky stanovi velikost tabulky, do ktere se ukladaji informace o
spojenich (/proc/net/ip_conntrack). Napr. na PC s 128 MB RAM je defaultne
/proc/sys/net/ipv4/ip_conntrack_max = 8184.
Kdyz jde pres masinu prilis velky provoz, tj. je nutno si pamatovat mnoho
otevrenych spojeni, muze dojit k preplneni teto tabulky, zahozeni nekterych
informaci a k vypsani vyse uvedene hlasky. Resenim je zvetseni fyzicke
pameti RAM, tj. upgrade stroje. Kazde spojeni totiz zabira cca 600 bytu, a
tabulku spojeni nelze odlozit do swapu.

U nas bylo defaultne ip_conntrack_max =2048, a kupodivu pomohlo proste
zvyseni na 4096 (echo "4096" > /proc/sys/net/ipv4/ip_conntrack_max), bez
zvysovani velikosti fyzicke RAM, hlaska se prestala vyskytovat a i problemy
ktere se predtim obcas stavaly (obcas spadlo nejake spojeni) jsou pryc.
Zajimalo by me ale, jestli nedochazi nekde k nejakym jinym problemum, ale
asi ne, prece jen 4096 zaznamu po 600 bytech je cca 2,5 MB a stroj ma 16MB
RAM a nic moc na nem nebezi. Kazdopadne neni nikde nic znat, stroj ma uptime
42 dni a v pohode.

Kdyztak kouknete na par odkazu, dozvite se vice:

http://lists.samba.org/pipermail/netfilter/2001-July/013422.html
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html


S pozdravem

Martin Kejik