[Discuss] Re: conntracking

[Dieter Hofrichter]

Am Wednesday 15 June 2005 23:42 schrieb aaron:

> man sieht ganz gut wieviele connections im nat und connection tracking
> gerade "haengen geblieben" sind indem man auf der linksys folgendes
> eingibt:
>
> (spam-protected):~# cat /proc/net/ip_conntrack | wc -l
>      54
>
> auf der viviomni ist jetzt als maximum nicht mehr 1024 eingetragen sondern
> unglaubliche 500000. wenn diese zahl erreicht wird, dann ist sense.
>
> es scheint im moment so, als ob diese zahl immer monoton steigt.
>
Laut http://www.iptables.org/documentation/FAQ/netfilter-faq.html#toc3.7 
braucht jede beobachtete Verbindung etwa 350 bytes Kernelspeicher. Je MB 
lassen sich also etwa 2800 Verbindungen verfolgen. Es macht daher keinen Sinn  
auf einem Linksys WRT54 (ram Gesamt 16 bzw 
32Mb) /proc/sys/net/ipv4/ip_conntrack_max auf 500000 zu setzen.

Meine Schlußfolgerung: 
entweder 
a) Die Anzahl der Verbindungen veringern (z.B. timeout)
oder
b) Connection tracking auf omni's deaktivieren -> d.h. neue Firmware mit 
conntrack als  Modul

Liebe Grüße
Dieter