Титла: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 17:06 :) A така :Д Готина работа :)
net.ipv4.netfilter.ip_conntrack_max = 12000 cat /proc/net/ip_conntrack > /tmp/ip-ta awk '{print $5}' /tmp/ip-та | sort | uniq -c | sort -rn | more 88386 src=мойтоип 98 dst=91.196.124.201 22 dst=91.196.126.52 17 dst=91.196.127.52 13 src=127.0.0.1 8 src=91.196.127.52 8 src=90.154.209.73 6 src=90.154.148.93 6 src=87.126.47.81 5 dst=91.196.125.43 4 src=87.126.70.131 3 src=213.3.41.93 2 src=95.133.239.44 2 src=87.126.67.254 1 src=95.42.22.220 1 src=95.42.123.37 1 src=90.154.150.139 1 src=77.71.4.172 1 src=206.53.150.101 1 src=195.146.88.253 1 src=189.24.71.135 1 src=189.108.36.206 1 src=188.128.108.158 1 src=123.26.20.52 1 src=123.16.126.135 1 src=117.93.128.164 И тук на долу има около още "150" - "200" нарочно не съм ги paste ... Всичките са по 1 src Като цяло ми е интересно как се получава този номер :) знам как да го орпавя . Не е проблем . Проблема е от къде се е получило и защо и как се получава Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: romeo_ninov в Oct 21, 2009, 18:32 скайп, торенти
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 19:27 Сървър е !!. Като цяло доста голям , но до сега никога не е ставало така . Просот по няква причина се е получило и ми е чудно как
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: VladSun в Oct 21, 2009, 20:42 за какво ти е пуснат conntrack на сървер?
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 21:29 за какво ти е пуснат conntrack на сървер?Как така за какво ми е пуснат ? Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: gat3way в Oct 21, 2009, 21:29 Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 22:00 Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.Нямам човек , правилата са прости. Всичко drop accept на определени портове. Ае майната му не че е проблем , но ми беше интересно от къде се е получило и как без никъв SYN e 50-60 не се броят толкоз Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 22:06 Интерсно ! Сигорно иска рестарт ама няма го угрее
Незнам неможе по това време да е толкоз Сега нито се прави backup нищо root@sds [~]# wc -l /proc/net/ip_conntrack 28583 /proc/net/ip_conntrack root@sds [~]# date grep SYN /proc/net/ip_conntrack |wc -l 12 root@dasda [~]# root@asdsda [~]# grep acc /proc/net/ip_conntrack |wc -l 0 root@idsadada [~]# grep ACC /proc/net/ip_conntrack |wc -l 0 root@idsadas[~]# Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: gat3way в Oct 21, 2009, 22:33 Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 23:14 Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?Ае тя работата е сложна малко , с една лан карта съм но два реални ип адреса заради шибаните домейни .ru .Там се изискват 2 днс сървъра с два различни ип адреса и също така ... Сложно е :Д . Както и да е не е проблем >:D >:D >:D Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 23:21 A как да го спра или какво точно трябва да направя ? Тук нещо ме хварлихте в тъч
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: gat3way в Oct 21, 2009, 23:37 Ами махни ip_conntrack kernel модула.
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 21, 2009, 23:45 Ще трябва да видим какъв му е плюса , минуса и тн :) Ще видим
Титла: Re: ip_conntrack: table full, dropping packet Публикувано от: ntrance в Oct 25, 2009, 23:48 РЕШЕН Е ПРОБЛЕМА
Така , само имформативно чупих 2 сървъра :( прекомплирах 4 пъти ядрата. Какво ли не правих събота и неделя (36 часа работа) , нямаше решение на проблема и това е , а проблема къде е бил . Малко по долу в червеното. Та след като дадох рестарт на firewall-a забелязах ip_conntrack >:D >:D >:D . И като проверих еми той iptables-config зарежда модул в /etc/modprobe.conf За хората който може би ще имат такъв проблем след време . Не пипайте кърнела (при мен не зареди поне 5 часа :) ) като мен. Или не си вдигайте лимита на net.ipv4.netfilter.ip_conntrack_max , освен ако не е наложително поради причина заради много конекции root@dasda [/etc/sysconfig]# cat iptables-config # Load additional iptables modules (nat helpers) # Default: -none- # Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which # are loaded after the firewall rules are applied. Options for the helpers are # stored in /etc/modprobe.conf. IPTABLES_MODULES="ip_conntrack_ftp" Това нещо ми скъси живота с 2 години # Unload modules on restart and stop # Value: yes|no, default: yes # This option has to be 'yes' to get to a sane state for a firewall # restart or stop. Only set to 'no' if there are problems unloading netfilter # modules. IPTABLES_MODULES_UNLOAD="yes" # Save current firewall rules on stop. # Value: yes|no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped # (e.g. on system shutdown). IPTABLES_SAVE_ON_STOP="no" # Save current firewall rules on restart. # Value: yes|no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets # restarted. IPTABLES_SAVE_ON_RESTART="no" # Save (and restore) rule and chain counter. # Value: yes|no, default: no # Save counters for rules and chains to /etc/sysconfig/iptables if # 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or # SAVE_ON_RESTART is enabled. IPTABLES_SAVE_COUNTER="no" # Numeric status output # Value: yes|no, default: yes # Print IP addresses and port numbers in numeric format in the status output. IPTABLES_STATUS_NUMERIC="yes" # Verbose status output # Value: yes|no, default: yes # Print info about the number of packets and bytes plus the "input-" and # "outputdevice" in the status output. IPTABLES_STATUS_VERBOSE="no" # Status output with numbered lines # Value: yes|no, default: yes # Print a counter/number for every rule in the status output. IPTABLES_STATUS_LINENUMBERS="yes" root@dasdas [/etc/sysconfig]# |