Автор Тема: ip_conntrack: table full, dropping packet  (Прочетена 3258 пъти)

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
ip_conntrack: table full, dropping packet
« -: Oct 21, 2009, 17:06 »
:) A така :Д Готина работа :)
net.ipv4.netfilter.ip_conntrack_max = 12000
cat /proc/net/ip_conntrack > /tmp/ip-ta
awk '{print $5}' /tmp/ip-та   |  sort  | uniq -c | sort -rn | more
88386 src=мойтоип
     98 dst=91.196.124.201
     22 dst=91.196.126.52
     17 dst=91.196.127.52
     13 src=127.0.0.1
      8 src=91.196.127.52
      8 src=90.154.209.73
      6 src=90.154.148.93
      6 src=87.126.47.81
      5 dst=91.196.125.43
      4 src=87.126.70.131
      3 src=213.3.41.93
      2 src=95.133.239.44
      2 src=87.126.67.254
      1 src=95.42.22.220
      1 src=95.42.123.37
      1 src=90.154.150.139
      1 src=77.71.4.172
      1 src=206.53.150.101
      1 src=195.146.88.253
      1 src=189.24.71.135
      1 src=189.108.36.206
      1 src=188.128.108.158
      1 src=123.26.20.52
      1 src=123.16.126.135
      1 src=117.93.128.164

  И тук на долу има около още "150" - "200"    нарочно не съм ги paste ... Всичките са по 1 src


Като цяло ми е интересно как се получава този номер :) знам как да го орпавя . Не е проблем  . Проблема е от къде се е получило и защо  и как се получава
« Последна редакция: Oct 21, 2009, 17:08 от ntrance »
Активен

romeo_ninov

  • Напреднали
  • *****
  • Публикации: 2155
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #1 -: Oct 21, 2009, 18:32 »
скайп, торенти
Активен

0x2B|~0x2B

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #2 -: Oct 21, 2009, 19:27 »
Сървър е !!. Като цяло доста голям , но до сега никога не е ставало така . Просот по няква причина се е получило и ми е чудно как
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #3 -: Oct 21, 2009, 20:42 »
за какво ти е пуснат conntrack на сървер?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #4 -: Oct 21, 2009, 21:29 »
за какво ти е пуснат conntrack на сървер?
Как така за какво ми е пуснат ?
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ip_conntrack: table full, dropping packet
« Отговор #5 -: Oct 21, 2009, 21:29 »
Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.
Активен

"Knowledge is power" - France is Bacon

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #6 -: Oct 21, 2009, 22:00 »
Сигурно има някакъв stateful firewall с правила дето match-ват connection state-a.
Нямам човек , правилата са прости. Всичко  drop   accept  на определени портове. Ае майната му   не че е проблем  , но ми беше интересно от къде се е получило и как без никъв SYN e   50-60  не се броят толкоз
Активен

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #7 -: Oct 21, 2009, 22:06 »
Интерсно ! Сигорно иска рестарт ама няма го угрее
Незнам неможе по това време да е толкоз
Сега нито се прави backup нищо   

root@sds [~]#  wc -l /proc/net/ip_conntrack
28583 /proc/net/ip_conntrack
root@sds [~]# date

 grep SYN /proc/net/ip_conntrack |wc -l
12
root@dasda [~]#

root@asdsda [~]# grep acc /proc/net/ip_conntrack |wc -l
0
root@idsadada [~]# grep ACC /proc/net/ip_conntrack |wc -l
0
root@idsadas[~]#
« Последна редакция: Oct 21, 2009, 22:08 от ntrance »
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ip_conntrack: table full, dropping packet
« Отговор #8 -: Oct 21, 2009, 22:33 »
Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?
Активен

"Knowledge is power" - France is Bacon

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #9 -: Oct 21, 2009, 23:14 »
Ми щом нямаш и щом и не НАТ-ва нищо тази машина наистина защо ти е connection tracking?
Ае тя работата е сложна малко , с една лан карта съм но два реални ип адреса заради шибаните домейни .ru  .Там се изискват 2 днс сървъра с два различни ип адреса и също така ... Сложно е :Д . Както и да е не е проблем  >:D >:D >:D
Активен

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #10 -: Oct 21, 2009, 23:21 »
A как да го спра или какво точно трябва да направя ?  Тук нещо ме хварлихте в тъч
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ip_conntrack: table full, dropping packet
« Отговор #11 -: Oct 21, 2009, 23:37 »
Ами махни ip_conntrack kernel модула.
Активен

"Knowledge is power" - France is Bacon

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #12 -: Oct 21, 2009, 23:45 »
Ще трябва да видим какъв му е плюса   , минуса и тн :) Ще видим
Активен

ntrance

  • Напреднали
  • *****
  • Публикации: 696
    • Профил
Re: ip_conntrack: table full, dropping packet
« Отговор #13 -: Oct 25, 2009, 23:48 »
РЕШЕН Е ПРОБЛЕМА
Така , само имформативно чупих 2 сървъра   :( прекомплирах 4 пъти ядрата. Какво ли не правих събота и неделя (36 часа работа)  , нямаше решение на проблема и това е  , а проблема къде е бил .
Малко по долу  в червеното.  Та   след като дадох рестарт на firewall-a забелязах  ip_conntrack  >:D >:D >:D . И като  проверих   еми той  iptables-config зарежда  модул в  /etc/modprobe.conf

За хората който може би ще имат такъв проблем след време . Не пипайте кърнела (при мен не зареди поне  5 часа :) ) като мен. Или не си вдигайте лимита на  net.ipv4.netfilter.ip_conntrack_max , освен ако не е наложително поради причина заради много конекции

root@dasda [/etc/sysconfig]# cat iptables-config
# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_ftp"  Това нещо ми скъси живота с 2 години

# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"
root@dasdas [/etc/sysconfig]#
 
Активен