Linux 2.4.25 z odpowiednimi łatami dla skryptow z www.inet.one.pl
iptables v1.2.9
skrypty www.inet.one.pl dla 2.4.x

Maszyny (jest ich kilka) obsługują NAT (kilkadziesiąt komputerów). Od
jakiegoś czasu pojawia się w różnych miejscach problem przepełniania ilośći
możliwych jednoczesnych połączen pomimo iż tak naprawde nie ma to miejsca.
Komputer użytkownika jest restartowany - nie nawiązuje nowych połączen ale
na linuksie wyraznie widze że wisi kilkadziesiąt nawiązanych. To utrudnia
nawiązanie prawidłowych nowych połączen ze względu na CONNLIMIT. Wygooglalem
iż potrzebna będzie rekompilacja kernela z odpowiednio krótszym czasem
przetrzymywania połączen nieaktywnych. Czy nie jest możliwe czyszczenie
wszystkich połączeń raz na jakiś czas (chwilowo pomaga restart systemu ale
nie jest to optymalne rozwiązanie)? Jak najłatwiej uniemozliwić "zawieszanie
się" tych połączeń?


Przykład wiszących połączen których w rzeczywistości być nie powinno (czysty
komputer, zrestartowany)
netstat-m | grep host19-3
tcp host19-3.besko.netaccess:1063 dc.jawnet.pl:1100
ESTABLISHED
tcp host19-3.besko.netaccess:1442 cil144.neoplus.adsl.tpne:6893
ESTABLISHED
tcp host19-3.besko.netaccess:4096 dc.paz.pl:411
ESTABLISHED
tcp host19-3.besko.netaccess:4085 mietek.cyf-kr.edu.pl:45210
ESTABLISHED
tcp host19-3.besko.netaccess:1057 [67.159.5.198]:411
ESTABLISHED
tcp host19-3.besko.netaccess:4104 pnth.net:411
ESTABLISHED
tcp host19-3.besko.netaccess:4089 [67.159.5.198]:411
ESTABLISHED
tcp host19-3.besko.netaccess:2251 dzw254.neoplus.adsl.tpne:7890
ESTABLISHED
tcp host19-3.besko.netaccess:1091 dhcp-133-ppp.MAN.atcom.:64687
ESTABLISHED
tcp host19-3.besko.netaccess:3511 pcp0012099245pcs.500ash01:443
ESTABLISHED
tcp host19-3.besko.netaccess:1075 sv2.vipserv.org:9999
ESTABLISHED
tcp host19-3.besko.netaccess:1065 ns32048.ovh.net:411
ESTABLISHED
tcp host19-3.besko.netaccess:1059 [66.90.120.164]:412
ESTABLISHED
tcp host19-3.besko.netaccess:1059 [66.90.120.164]:412
ESTABLISHED
tcp host19-3.besko.netaccess:1059 [66.90.120.164]:412
ESTABLISHED
tcp host19-3.besko.netaccess:1066 mietek.cyf-kr.edu.pl:45210
ESTABLISHED
tcp host19-3.besko.netaccess:1818 clj11-223.dial-up.arnes:18685
ESTABLISHED
tcp host19-3.besko.netaccess:3974 dpr129.neoplus.adsl.tpn:11416
ESTABLISHED
tcp host19-3.besko.netaccess:1257 axw251.neoplus.adsl.tpn:20173
ESTABLISHED

Żadne z powyższych nie może istnieć gdyż komputer jest zrestartowany i o
nich wie tylko dla tego, iż nie może nawiązac nowych :)

Po_steen napisał(a):

> iż potrzebna będzie rekompilacja kernela z odpowiednio krótszym czasem
> przetrzymywania połączen nieaktywnych. Czy nie jest możliwe czyszczenie
> wszystkich połączeń raz na jakiś czas (chwilowo pomaga restart systemu ale
> nie jest to optymalne rozwiązanie)? Jak najłatwiej uniemozliwić "zawieszanie
> się" tych połączeń?

wystarczy wyładować/załadować conntrack-a

A jasiu był na oficjalnym forum inet ?
Jak nie to zapraszam.

Chyba jeszcze coś widziełem na http://www.lanforum.net/

PS użyj przycisku search

Po_steen wrote:

> Linux 2.4.25 z odpowiednimi łatami dla skryptow z [..]
> iptables v1.2.9
> skrypty [..] dla 2.4.x
>

dodaj sobie do skryptow startowych:

echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "60" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo "21600" >
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

pozdro.