ip_conntract

[Milan Keršláger]

On Fri, Jun 11, 2004 at 10:54:47PM +0200, Peter Surda wrote:
> On Fri, Jun 11, 2004 at 08:50:49PM +0200, Milan Keršláger wrote:
> > On Fri, Jun 11, 2004 at 10:49:36AM -0700, Martin Mancuska wrote:
> > > Mam router a v ip_contract my zostanu vysiet nejake spojenia a router sa 
> > > znacne spomali.
> > > Co s tym ?
> > Stare zaznamy se nelikviduji, ale nahrazuji az v pripade potreby.
> Bud som to nepochopil alebo to nie je pravda :-). Je vsak pravda, ze za istych
> okolnosti spojenia timeoutuju dost dlho (dni) a medzitym zaberaju miesto v
> tabulke.

Zabiraji prave proto, ze je zbytecne je vyhazovat. Jednoduse se
pouzivaji ty nejstarsi.

> > Velikost hashsize by mela byt licha.
> Mam dojem ze tento problem plati iba v starsich verziach a v aktualnych to uz
> je opravene.
> 
> > V kazdem pripade muzete z /proc/net/ip_conntrack zjistit, co se deje.
> > Pokud mate mnoho UNREPLIED polozek, pak nekdo asi dela portscan (treba
> > virus). Zjistete puvodce a odstrante problem.
> Mas uplnu pravdu, nie je vsak iste, ci popisany problem "router pomaly" s
> tymto suvisi.

S ohledem na to, ze mam s timhle nejake zkusenosti, tak je to mozne.
Zkuste si spocitat, kolik pameti ty registrovane spojeni potrebuji (asi
350 byte na jedno krat /proc/sys/net/ipv4/ip_conntrack_max).

Krome toho kdyz zvysite jen ip_conntrack_max a nezvetsite hashsize,
muzete mit prave s timhle potize.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/