[Discuss] ip_conntrack

[Dieter Hofrichter]

Am Thursday 09 June 2005 13:06 schrieb Wolfgang 'Dreamguard' Nagele:
> hi,
>
> okay - als doku für diejenigen die auf ihren boxen evt. das selbe problem
> haben/kriegen sollten.
>
> um das ip_conntrack höher zu setzen reicht es aus den eintrag im /proc
> dafür zu ändern. sinnvoller wäre (wenn kein nat benötigt wird!) das kernel
> modul gänzlich zu entfernen.
>
> für diejenigen die einfach nur das limit höher setzen wollen um solche
> fehler zu umgehen hier folgende schritte:
>
> ---cut---
> cp /rom/etc/init.d/S10boot /etc/init.d/S10boot.new
>
> vi /etc/init.d/S10boot.new
> - nach "echo ${HOSTNAME} > /proc/sys/kernel/hostname"
> - folgendes einfügen "echo "50000" > /proc/sys/net/ipv4/ip_conntrack_max"
>
> cp /rom/etc/init.d/S10boot /etc/init.d/S10boot.old
>
> rm /etc/init.d/S10boot
>
> mv /etc/init.d/S10boot.new /etc/init.d/S10boot
> ---cut---
> dann einen reboot machen und überprüfen mit "cat
> /proc/sys/net/ipv4/ip_conntrack_max"
>
> hope that helps.
> lg
Einige p2p Programme beenden tcp Verbindungen nicht korrekt, daher bleiben 
diese Verbindungen für conntrack established (unabhängig von nat, zb. 
stateful firewall).
Default ip_conntrack_tcp_timeouts (auch in der funkfeuer Firmware) ist 5 Tage 
für established connections (=432000 Sekunden).  Erst danach werden die 
Verbindungen verworfen.
(spam-protected):~# cat /proc/sys/net/ipv4/ip_conntrack_tcp_timeouts
1800    432000  120     60      120     120     10      60      30      120

echo "300 3600 120 60 120 120 10 60 30 
120"> /proc/sys/net/ipv4/ip_conntrack_tcp_timeouts

im start script könnte also auch helfen die Speicherauslastung (durch die 
unzähligen connections) der Linksys zu reduzieren. Timeout im obigen Beispiel 
1 Stunde.  
Soviel ich weiß wird ein hoher timeout hauptsächlich für ftp benötigt.

Liebe Grüße
Dieter