Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: ntrance в Oct 21, 2009, 17:06



Титла: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 17:06
:) A така :Д Готина работа :)
net.ipv4.netfilter.ip_conntrack_max = 12000
cat /proc/net/ip_conntrack > /tmp/ip-ta
awk '{print $5}' /tmp/ip-та   |  sort  | uniq -c | sort -rn | more
88386 src=мойтоип
     98 dst=91.196.124.201
     22 dst=91.196.126.52
     17 dst=91.196.127.52
     13 src=127.0.0.1
      8 src=91.196.127.52
      8 src=90.154.209.73
      6 src=90.154.148.93
      6 src=87.126.47.81
      5 dst=91.196.125.43
      4 src=87.126.70.131
      3 src=213.3.41.93
      2 src=95.133.239.44
      2 src=87.126.67.254
      1 src=95.42.22.220
      1 src=95.42.123.37
      1 src=90.154.150.139
      1 src=77.71.4.172
      1 src=206.53.150.101
      1 src=195.146.88.253
      1 src=189.24.71.135
      1 src=189.108.36.206
      1 src=188.128.108.158
      1 src=123.26.20.52
      1 src=123.16.126.135
      1 src=117.93.128.164

  И тук на долу има около още "150" - "200"    нарочно не съм ги paste ... Всичките са по 1 src


Като цяло ми е интересно как се получава този номер :) знам как да го орпавя . Не е проблем  . Проблема е от къде се е получило и защо  и как се получава


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: romeo_ninov в Oct 21, 2009, 18:32
скайп, торенти


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 19:27
Сървър е !!. Като цяло доста голям , но до сега никога не е ставало така . Просот по няква причина се е получило и ми е чудно как


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: VladSun в Oct 21, 2009, 20:42
за какво ти е пуснат conntrack на сървер?


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 21:29
за какво ти е пуснат conntrack на сървер?
Как така за какво ми е пуснат ?


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: gat3way в Oct 21, 2009, 21:29
Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 22:00
Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.
Нямам човек , правилата са прости. Всичко  drop   accept  на определени портове. Ае майната му   не че е проблем  , но ми беше интересно от къде се е получило и как без никъв SYN e   50-60  не се броят толкоз


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 22:06
Интерсно ! Сигорно иска рестарт ама няма го угрее
Незнам неможе по това време да е толкоз
Сега нито се прави backup нищо   

root@sds [~]#  wc -l /proc/net/ip_conntrack
28583 /proc/net/ip_conntrack
root@sds [~]# date

 grep SYN /proc/net/ip_conntrack |wc -l
12
root@dasda [~]#

root@asdsda [~]# grep acc /proc/net/ip_conntrack |wc -l
0
root@idsadada [~]# grep ACC /proc/net/ip_conntrack |wc -l
0
root@idsadas[~]#


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: gat3way в Oct 21, 2009, 22:33
Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 23:14
Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?
Ае тя работата е сложна малко , с една лан карта съм но два реални ип адреса заради шибаните домейни .ru  .Там се изискват 2 днс сървъра с два различни ип адреса и също така ... Сложно е :Д . Както и да е не е проблем  >:D >:D >:D


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 23:21
A как да го спра или какво точно трябва да направя ?  Тук нещо ме хварлихте в тъч


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: gat3way в Oct 21, 2009, 23:37
Ами махни ip_conntrack kernel модула.


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 21, 2009, 23:45
Ще трябва да видим какъв му е плюса   , минуса и тн :) Ще видим


Титла: Re: ip_conntrack: table full, dropping packet
Публикувано от: ntrance в Oct 25, 2009, 23:48
РЕШЕН Е ПРОБЛЕМА
Така , само имформативно чупих 2 сървъра   :( прекомплирах 4 пъти ядрата. Какво ли не правих събота и неделя (36 часа работа)  , нямаше решение на проблема и това е  , а проблема къде е бил .
Малко по долу  в червеното.  Та   след като дадох рестарт на firewall-a забелязах  ip_conntrack  >:D >:D >:D . И като  проверих   еми той  iptables-config зарежда  модул в  /etc/modprobe.conf

За хората който може би ще имат такъв проблем след време . Не пипайте кърнела (при мен не зареди поне  5 часа :) ) като мен. Или не си вдигайте лимита на  net.ipv4.netfilter.ip_conntrack_max , освен ако не е наложително поради причина заради много конекции

root@dasda [/etc/sysconfig]# cat iptables-config
# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_ftp"  Това нещо ми скъси живота с 2 години

# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"
root@dasdas [/etc/sysconfig]#