Kandu.dk - [Linux] Forhindre at conntrack-tabellen løber


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

[Linux] Forhindre at conntrack-tabellen lø~
Fra : Steen Suder, privat

Dato : 30-08-04 13:47

Det er fint nok at man kan justere på det maksimale antal af indgange i
connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
/proc/sys/net/ipv4/ip_conntrack_max.
Desværre koster det jo RAM at skrue tallet op.

Denne manøvre forhindrer dog ikke at tabellen potentielt bliver fyldt op
i tilfælde af orm, virus eller defekt computer etc. på nettet.

Hvor "luger man ud" i conntrack-tabellen?
Kan man gøre noget andet på boksen?

Jeg forestiller mig noget i retning af garbage-collection som det ses
med route-decision-tabellen.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Rasmus Bøg Hansen (02-09-2004)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 02-09-04 13:13

"Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
Afterwards the following was on the screen:

> Det er fint nok at man kan justere på det maksimale antal af indgange
> i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
> /proc/sys/net/ipv4/ip_conntrack_max.
> Desværre koster det jo RAM at skrue tallet op.

Hm, det er da vel næppe et reelt problem på moderne maskiner.

Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
stil - og det er jo ikke det store nu om dage, skulle jeg mene...

> Denne manøvre forhindrer dog ikke at tabellen potentielt bliver fyldt
> op i tilfælde af orm, virus eller defekt computer etc. på nettet.
>
> Hvor "luger man ud" i conntrack-tabellen?
> Kan man gøre noget andet på boksen?

Mig bekendt kan du ikke fjerne aktive conntracks manuelt. Du er nok
nødt til at vente på at forbindelserne giver timeout.

Forbindelsesforsøg forsvinder relativt hurtigt, hvis de aldrig når at
blive etableret (dvs. forbliver i SYN_SENT); etablerede forbindelser
kan hænge meget længe, hvis de ikke lukkes pænt ned.

> Jeg forestiller mig noget i retning af garbage-collection som det ses
> med route-decision-tabellen.

Det kan du mig bekendt ikke stille på i netfilter. Der er vist en
patch i patch-o-matic, hvor du kan stille på timeouts
ol. (tcp-window-tracking eller noget i den stil) - hvor meget den er
værd ved jeg ikke, idet jeg aldrig har brugt den.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If you only have a hammer
everything looks like a nail
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Steen Suder, privat (06-09-2004)

Kommentar
Fra : Steen Suder, privat

Dato : 06-09-04 11:44

Rasmus Bøg Hansen wrote:
> "Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
> Afterwards the following was on the screen:
>
>
>>Det er fint nok at man kan justere på det maksimale antal af indgange
>>i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
>>/proc/sys/net/ipv4/ip_conntrack_max.
>>Desværre koster det jo RAM at skrue tallet op.
>
>
> Hm, det er da vel næppe et reelt problem på moderne maskiner.
>
> Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
> pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
> stil - og det er jo ikke det store nu om dage, skulle jeg mene...

Det er vist ikke helt så simpelt:
<http://www.wallfire.org/misc/netfilter_conntrack_perf.txt>

Dette betyder at en maskine med f.eks. 256MB RAM (eller rettere
kernelmem), kan håndtere op til 16K samtidige connections.

<KLIP garbage collection i conntrack>

Det lader til at 2.4.23 har introduceret en del nye indgange i
/proc/sys/net/ipv4/netfilter/ som med deres navne antyder, at der kan
stilles på "garbage collection" i conntrack.

Jeg har dog ikke fundet den tilhørende dokumentation endnu.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Steen Suder, privat (06-09-2004)

Kommentar
Fra : Steen Suder, privat

Dato : 06-09-04 11:53

Steen Suder, privat wrote:
> Rasmus Bøg Hansen wrote:
>
>> "Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
>> Afterwards the following was on the screen:
>>
>>
>>> Det er fint nok at man kan justere på det maksimale antal af indgange
>>> i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
>>> /proc/sys/net/ipv4/ip_conntrack_max.
>>> Desværre koster det jo RAM at skrue tallet op.
>>
>>
>>
>> Hm, det er da vel næppe et reelt problem på moderne maskiner.
>>
>> Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
>> pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
>> stil - og det er jo ikke det store nu om dage, skulle jeg mene...
>
>
> Det er vist ikke helt så simpelt:
> <http://www.wallfire.org/misc/netfilter_conntrack_perf.txt>

Der var jeg for hurtigt ude.
Det er ikke max, men default størrelse, der beskrives.

<KLIP brainfart>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Søg

Reklame

Statistik

Spørgsmål :	177502
Tips :	31968
Nyheder :	719565
Indlæg :	6408529
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste