[redhat-list-de] iptables ip_conntrack
Matthias Borrack
mailingliste at sinath.de
Wed Mar 17 07:23:05 UTC 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Michael Schwendt wrote:
>>Knapp 5 Tage für ein TimeOut ist einfach zu hoch.
>
>
> Es sind bei Dir nicht die üblichen zwei Minuten für TCP/IP?
>
Guten Morgen,
es betrifft ja nicht die "üblichen" (Verdächtigen) TCP/IP-Verbindungen
in dem Sinne, es geht um die Einträge in die Conntrack im Zusammenhang
mit NAT. Mit dem Wechsel von MASQ auf NAT, bzw. mit dem Wechsel von
ipchains auf iptables, wurde der MASQ/NAT-TimeOut/Ungültigkeit geändert
("Sorry, we think 5 days are better" ... oder so).
Ich kan auf einigen Ports darauf verzichten bzw. der Status dieser
Verbindung ist mir recht egal, aber eben nur bei knapp 20 %, und genau
diese 20 % verursachen diese ewig-lebenden-Einträge, und dann sind
irgendwann auch 15000 Einträge in Conntrack zuviel. Problem ist nur,
entweder conntrack oder nicht, ein zwischending, conntrack nur da, wo
ICH es will, gibt es net :(
Auf netfilter.org ist der einzige Hinweis darauf ein Patch, in dem man
von den 5 Tagen wegkäme, aber es wird (bei dieser Maschine) schwer,
diesen Patch einzubasteln (zu dürfen), deswegen würd ich gerne darauf
verzichten.
Ich sag ja, nimm niemals Software, die sich net vernünftig im Netz
bewegen kann ...
thx & cu/2 iae
Matthias
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQFAV/zZWTMfCbz57ScRAiECAJ9kPQuuh5YH7WYbkOgX7N3HZl7sDwCdH1ad
JKjjMoXqPsQHtZIYEf3htZE=
=S827
-----END PGP SIGNATURE-----
More information about the redhat-list-de
mailing list