obmedzenie poctu conntrack poloziek pre IP
Peter Surda
surda na shurdix.com
Pondělí Září 12 13:39:40 CEST 2005
On Mon, 12 Sep 2005 13:07:37 +0200 Michal Rybarik <michal.rybarik na ecce.sk>
wrote:
>Zdravim all,
cau
>mozno ste sa uz tiez stretli s tym, ze na sieti nejaky prilis aktivny
>worm alebo virus pootvara tolko spojeni, ze sa minie pamat vyhradena pre
>conntrack tabulku, a dalsie spojenia nie je mozne nadviazat. Pocet
>zaznamov pre conntrack sa sice da zdvihnut, ale pamate tiez nie je
>nekonecne vela. Co s tym? Ked je nejaky stroj zavireny, chcel by som aby
>net nesiel jemu, ostatne stroje nech funguju normalne.
Kludne zvys conntrack. Nepamatam z hlavy, ako sa presne pocita spotrebovana
pamat, ale je to zhruba 4*hashsize + 350*conntrack_max bytov (tych 350 zavisi od
parametrov kompilacie jadra a iptables, a hashsize sa odporuca conntrack_max/8).
Aj ked mas "zaciatocnicky" router s 64MB, tak vyhrad povedzme 10MB na conntrack
a uz sa tam zmesti skoro 30.000 spojeni. Ked mas trocha lepsi ruter a pol giga
ramky, zvys to v pohode na 400MB a dostanes 1,2 miliona zaznamov a to uz tak
jednoducho cerv nevycerpa. Max co som u cervu nameral bolo okolo 9.000 zaznamov.
Ten default (myslim ze hashsize=ramsize/16384) je velmi konzervativny a je
mysleny na vseobecne pouzitie, nie na router.
Vid www.lartc.org (online dokumenty + mailing list).
Okrem toho zase nepriamo spomeniem produkt ktory ma nastroje na pomoc v
podobnych situaciach ;-).
>Dakujem
>Michal Rybarik
S pozdravom,
Peter
--
http://www.shurdix.org - Linux distribution for routers and firewalls
Další informace o konferenci Linux