[Dump] NOTRACK

Markus Kittenberger (spam-protected)
Fri Dec 26 01:24:51 CET 2008


Hi

hab heute ab 19:58h ein problem mit dem linksys am liechtwicht gehabt,..

http://193.238.157.78/~markus/connstat/view.php?host=193.238.158.154&nojs=&date=20081225

es gingen wohl zuviele connections drüber (und nafangs auch 20% des netzes
durch seinen tunnel (welcher allein schon 30% cpu brauchte)) und nachdem
anfangs garnix mehr ging war die latenz gewaltig hoch oben, und erst al ich
eine ip die für merh als die hälfte aller connections veantwortlich blockte,
gings wieder,.

btw. mein conntrack machte auch nen teil der connections am liechtwicht aus,
d.h. man kann an den connections zum texas genau abzählen wieviele router
über einen routen, sehr praktisch (-;

jedenfalls ist mir dabei eingefallen das wir ja überall conntrack für alles
haben,..

obwohl es nur für den genateten traffic vom LAN es überhaupt gebraucht
wird,..

und so ein kleiner roouter ist da schnell an die wand gefahren, wenn er
rausfinden muss welche ftp pakete zamgehören usw,..

jedenfalls gibts dafür iptables -t raw -J NOTRACK

womit man konfigurieren köntne das es kein conntrack für den transit-traffic
braucht,..

allerdings erst in neuen 2.6ern vonalleine mitdabei,..

somit empfehlenswert für kamikaze konfigs/firmwares,..

und evt. doch noch als kmod.ipkg für whiterussian (gibt ja nen NOTRACK patch
ja schon seit 2001, und für 2.4 kernel)

lg Markus
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.funkfeuer.at/pipermail/dump/attachments/20081226/f8150dd7/attachment.html>


More information about the Dump mailing list