iptables kérdés!

[Gabor SZOLLOSI]

Szia!

On Mon, 2008-01-28 at 20:52 +0100, Faragó Zsolt wrote:

> Egy Debian Sarge (NAT-ol a belső hálóból kifelé) log-jában ilyenek jelentek meg néhány napja:
> Jan 25 19:55:22 tkeve kernel: NET: 54 messages suppressed.
> Jan 25 19:55:22 tkeve kernel: ip_conntrack: table full, dropping packet.
> Jan 25 20:56:29 tkeve kernel: ip_conntrack: table full, dropping packet.
> Mit jelent ez? (Nem szó szerint) Lehet (kell-e) ez ellen tenni?

Betelt a kapcsolatok kovetesere szolgalo conntrack tabla. Ez azert
rossz, mert igy a kerneled eldobalja a csomagokat, amiket mar nem tud
kovetni.
Workaround:
Ezzel tudod megnezni, hany kapcsolat van jelenleg:
# wc -l /proc/net/ip_conntrack

Megtudod nezni a limitet (vagy net.ipv4.ip_conntrack_max, kernelfuggoen)
a kovetkezo paranccsal:

# sysctl net.ipv4.netfilter.ip_conntrack_max
net.ipv4.netfilter.ip_conntrack_max = 16384

Ezzel pedig a kivant mennyisegre tudod felemelni:
# sysctl -w net.ipv4.netfilter.ip_conntrack_max=kivant_ertek

Ha rendben, vegul be kell irnod a /etc/sysctl.conf-ba.

-- 
Szöllősi Gábor