sledovani sitovych spojeni na routeru
Peter Surda
shurdeek na routehat.org
Sobota Září 18 23:17:17 CEST 2004
On Sat, Sep 18, 2004 at 06:43:53PM +0200, Zdenek Prchal wrote:
> Hm - ip_conntrack zahrnuje _vzdy_ vsechny aktivni spojeni
> prochazejici skrz dany router nebo se to da nejak omezit?
Ano, ale existuje tabulka "raw" (novsi netfilter/aktualny p-o-m), kde idu
pakety bez conntracku, a tam mozes "zle" pripadne dropovat.
> Nebo co se da delat v pripade, ze v logu mam
>
> kernel: ip_conntrack: table full, dropping packet.
Jasne, zvys limity, hlavne
/proc/sys/net/ipv4/netfilter/ip_conntrack_max
v novsich mozno aj
/proc/sys/net/ipv4/netfilter/ip_conntrack_buckets
Kedysi sa v tom pripade odporucalo loadnut modul ip_conntrack s vyssim
hashsize, neviem ci je to este treba, ja som to nerobil ani predtym a problemy
som nemal.
Pripadne ked vies, co robi tak vela spojeni a nie je to ziaduce, uprav
firewall.
> Zdenek Prchal
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
The computer revolution is over. The computers won.
Další informace o konferenci Linux