Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: ip_conntrack dropping packet

Subject: Re: lug-bg: ip_conntrack dropping packet
From: George Danchev <danchev@xxxxxxxxx>
Date: Sat, 11 Jun 2005 21:02:38 +0300
Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx

On Saturday 11 June 2005 17:24, Nikola Antonov wrote:
> Здравейте,
>
> Предполагам почти всеки от вас се е сблъсквал с съобщението в системните
> логове, което е и заглавие на темата, особено когато става дума за
> по-натоварени рутери. Известно е, че този проблем се решава с увеличаване
> на стойността в /proc/sys/net/ipv4/ip_conntrack_max, която по пдразбиране
> наистина е доста ниска за машини, през които минава повечко трафик (над 100
> мегабита)
>
> Въпросът ми е по-скоро до каква степен е разумно тази стойност да се
> увеличава и изобщо по какъв начин се определя тя от ядрото. Разгледах и
> сорса на самия модул, но тъй като не съм програмист, предпочитам да науча
> мнението на тези, които имат по-задълбочени познания.

	Според мен на dedicated firewall/nat-only machines ти можеш да увеличаваш 
това ограничение до безкрай, и неща ще се случат 2 неща:
* ако има памет ще алокира контрак в талицата, това е ясно, но ако някой те 
abuse-ва ( p2p приятелите и други подобни с амнайсе TCP сесии от client ip 
address / block и нямаш connlimit за тях) то ще стигнеш до:  
* да не може да алокира поради липса на свободна памет. ще дропне пакети със 
съответното съобщение в лога (и от кода printk-ва нещо си и return-ва ENOMEM 
(out of memory) или ENOSPC (no space left on device, иде реч за мрежовия 
дивайс)). Т.е. 'до края и душата в рая', ограничен си от хардуера.

	Когато има и други работи на тази машина, може да изцензурираш малко 
abuse-ването на паметта ;-) Смисъла на ограничението за conntrack_max и 
hashsize е: да можеш да кажеш 'не повече от mem - X' памет ще се алокира от 
нетфилтър контракинг [1] /при извръщения, се дропват пакети/, а X памет 
остава за други най-различни неща (като например squid който хапва по еди 
колко си К (4 на х86) на отворен сокет, а работа му е да отваря такива и да 
пълни паметта ;-).

[1] http://www.wallfire.org/misc/netfilter_conntrack_perf.txt
/ ако искаш да налагаш ограничения /

-- 
pub 4096R/0E4BD0AB 2003-03-18 <danchev.fccf.net/key pgp.mit.edu>
fingerprint    1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB

Във връзка с:
- Re: lug-bg: ip_conntrack dropping packet
  - Изпратено от: Nikola Antonov <nikola@xxxxxxxxxxxx>

Относно:
- lug-bg: ip_conntrack dropping packet
  - Изпратено от: Nikola Antonov <nikola@xxxxxxxxxxxx>

Предишно по дата: Re: lug-bg: zor sas SQUID {to Evgeni Genchev}
Следващо по дата: Re: lug-bg: zor sas SQUID {to Evgeni Genchev}
Предишно по тема: lug-bg: ip_conntrack dropping packet
Следващо по тема: Re: lug-bg: ip_conntrack dropping packet
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG