[redhat-list-de] iptables ip_conntrack

Micha Holzmann holzmann at mhnet.de
Thu Mar 18 12:05:07 UTC 2004 

Quoting Matthias Borrack <mailingliste at sinath.de>:
> Micha Holzmann wrote:
> > Kannst du mir deine Infrastruktur beschreiben? Ich habe hier noch ein
> > Verstaendnisproblem. Steht der Router bei einem ISP? Oder wie meinst
> > du das mit den Clients mit den DynIP?
> >
> 
> Guten Morgen,
> 
> gut, ich gan mal ganz oben an ;)
> 
> Es gibt zwei Seiten bei DynIP, meine und die von den anderen, und genau
> das wird zum ersten Stolperstein.
> 1. Stolpersteinteil:
> Mein A-DSL liegt leider etwas außerhalb des Kernbereiches, aus diesem
> Grund kann es vorkommen, daß bei viel "Last" meine Verbindung mehrmals
> abbricht und ich dummerweise auch gleich einen neue IP-Adresse bekomme.
> Im schlimmsten Fall ist die schon 1x je Stunde im Tagesverlauf vorgekommen.
> Prüfe ich jetzt die ip_conntrack stehen dort die abgebrochenen
> Verbindungen mit |meiner| vorherigen IP-Adresse mit Status ESTABLISHED
> und dann mit entsprechender TTL ( 120 Std. countdown )

Dann ist aber auch das Interface ppp0 down. Da der pppd daemon die
Ausfuehrung von Scripten sowohl beim hochfahren des IF als auch beim
herunterfahren des IF unterstuetzt, bietet sich hier an das
Firewallscript bei jedem Hoch- bzw. herunterfahren des IF auszufuehren.

Dabei kannst du die Module fuer das connection tracking entladen und neu
laden. Genauso kannst du die conntrsck table flushen. Da du eh eine neue
IP bekommst, sind alte Regeln eh obsolet (ok, nicht immer aber die
Chance die gleiche IP zweimal hintereinander zu erhalten sind extrem
gering).


> 2. Stolpersteinteil:
> Einigen Gegenstellen geht es ähnlich, nur sind es dort zum größtenteil
> die "Zwangsdisconnects" seitens Telecom und wenn eine Verbindung
> mittendrin unterbrochen wird ... siehe oben
> 3. Stolpersteinteil:
> P2P macht das Kraut noch richtig schön fett, aber das ist weniger das
> Problem, das wird einfach beendet, feierabend.

s.o. Bei mir ist das aber so nocht nicht aufgetretn obwohl auch Clients
mit DynIP connecten. Bei mir zwar keine P2P (nur ssh und http), aber die
Verbindungen werden alle nach 2 Minuten beendet wenn der Client RST
gesendet hat.

> ps: dein reply ist nicht wirklich sauber ;) ich hoffe nur, das die
> adress-änderung jetzt net den thread splittet ...

Der ist nur insoweit "nicht sauber" als ich es mir erlaubt habe statt
auf die Liste zu schreibenm, dich direkt adressiert habe. Also bitte...

:-)

Gruss,
Micha Holzmann

-- 
GPG Public-Key: send a Mail with Subject: GPG-KEY
Key fingerprint = 6FEF 16C5 17EF 9573 892B  D810 66B9 8FBD 0EBA 820F
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://listman.redhat.com/archives/redhat-list-de/attachments/20040318/7d6cc864/attachment.sig>

More information about the redhat-list-de mailing list