/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
[Linux] Forhindre at conntrack-tabellen lø~
Fra : Steen Suder, privat


Dato : 30-08-04 13:47

Det er fint nok at man kan justere på det maksimale antal af indgange i
connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
/proc/sys/net/ipv4/ip_conntrack_max.
Desværre koster det jo RAM at skrue tallet op.

Denne manøvre forhindrer dog ikke at tabellen potentielt bliver fyldt op
i tilfælde af orm, virus eller defekt computer etc. på nettet.

Hvor "luger man ud" i conntrack-tabellen?
Kan man gøre noget andet på boksen?

Jeg forestiller mig noget i retning af garbage-collection som det ses
med route-decision-tabellen.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

 
 
Rasmus Bøg Hansen (02-09-2004)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 02-09-04 13:13

"Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
Afterwards the following was on the screen:

> Det er fint nok at man kan justere på det maksimale antal af indgange
> i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
> /proc/sys/net/ipv4/ip_conntrack_max.
> Desværre koster det jo RAM at skrue tallet op.

Hm, det er da vel næppe et reelt problem på moderne maskiner.

Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
stil - og det er jo ikke det store nu om dage, skulle jeg mene...

> Denne manøvre forhindrer dog ikke at tabellen potentielt bliver fyldt
> op i tilfælde af orm, virus eller defekt computer etc. på nettet.
>
> Hvor "luger man ud" i conntrack-tabellen?
> Kan man gøre noget andet på boksen?

Mig bekendt kan du ikke fjerne aktive conntracks manuelt. Du er nok
nødt til at vente på at forbindelserne giver timeout.

Forbindelsesforsøg forsvinder relativt hurtigt, hvis de aldrig når at
blive etableret (dvs. forbliver i SYN_SENT); etablerede forbindelser
kan hænge meget længe, hvis de ikke lukkes pænt ned.

> Jeg forestiller mig noget i retning af garbage-collection som det ses
> med route-decision-tabellen.

Det kan du mig bekendt ikke stille på i netfilter. Der er vist en
patch i patch-o-matic, hvor du kan stille på timeouts
ol. (tcp-window-tracking eller noget i den stil) - hvor meget den er
værd ved jeg ikke, idet jeg aldrig har brugt den.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
If you only have a hammer
everything looks like a nail
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Steen Suder, privat (06-09-2004)
Kommentar
Fra : Steen Suder, privat


Dato : 06-09-04 11:44

Rasmus Bøg Hansen wrote:
> "Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
> Afterwards the following was on the screen:
>
>
>>Det er fint nok at man kan justere på det maksimale antal af indgange
>>i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
>>/proc/sys/net/ipv4/ip_conntrack_max.
>>Desværre koster det jo RAM at skrue tallet op.
>
>
> Hm, det er da vel næppe et reelt problem på moderne maskiner.
>
> Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
> pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
> stil - og det er jo ikke det store nu om dage, skulle jeg mene...

Det er vist ikke helt så simpelt:
<http://www.wallfire.org/misc/netfilter_conntrack_perf.txt>

Dette betyder at en maskine med f.eks. 256MB RAM (eller rettere
kernelmem), kan håndtere op til 16K samtidige connections.

<KLIP garbage collection i conntrack>

Det lader til at 2.4.23 har introduceret en del nye indgange i
/proc/sys/net/ipv4/netfilter/ som med deres navne antyder, at der kan
stilles på "garbage collection" i conntrack.

Jeg har dog ikke fundet den tilhørende dokumentation endnu.

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Steen Suder, privat (06-09-2004)
Kommentar
Fra : Steen Suder, privat


Dato : 06-09-04 11:53

Steen Suder, privat wrote:
> Rasmus Bøg Hansen wrote:
>
>> "Steen Suder, privat" <sfs_news_spam@suder.dk> hit the keyboard.
>> Afterwards the following was on the screen:
>>
>>
>>> Det er fint nok at man kan justere på det maksimale antal af indgange
>>> i connection-tracking-tabellen /proc/net/ip_conntrack ved hjælp af
>>> /proc/sys/net/ipv4/ip_conntrack_max.
>>> Desværre koster det jo RAM at skrue tallet op.
>>
>>
>>
>> Hm, det er da vel næppe et reelt problem på moderne maskiner.
>>
>> Jeg mener at huske noget om hukommelsesforbrug på 325 bytes
>> pr. conntrack. Selv med 64k conntracks er de 20mb eller noget i den
>> stil - og det er jo ikke det store nu om dage, skulle jeg mene...
>
>
> Det er vist ikke helt så simpelt:
> <http://www.wallfire.org/misc/netfilter_conntrack_perf.txt>

Der var jeg for hurtigt ude.
Det er ikke max, men default størrelse, der beskrives.

<KLIP brainfart>

--
Steen Suder
Prøv at forestille dig, at du er en anden, og læs så din artikel igennem
inden du sender den. Alle har interesse i, at du staver og formulerer
dig, så godt du kan. På den måde forstås det lettere, hvad du skriver.

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste