Re: lug-bg: ip_conntrack ???
- Subject: Re: lug-bg: ip_conntrack ???
- From: Milen Trifonov <antracit1@xxxxx>
- Date: Mon, 20 Dec 2004 01:17:08 +0200
On Thu, 2004-12-16 at 17:25 +0200, linux@xxxxxxxxxxxxxxxx wrote:
> > linux@xxxxxxxxxxxxxxxx wrote:
> >
> >>Имам Linux на който имам маскиране на адреси.
> >>
> >>От извесно време наблюдавам следното:
> >>
> >>cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l
> >>2532
> >>
> >>cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l
> >>3252
> >>
> >>какви са тези връзки който носят този флаг UNREPLIED
> >>
> >>t.e. редове от рода:
> >>
> >>udp 17 17 src=192.5.41.41 dst=192.168.4.253 sport=123 dport=123
> >>[UNREPLIED] src=192.168.4.253 dst=192.5.41.41 sport=123
> >> dport=123 use=1
> >>tcp 6 25 SYN_SENT src=192.168.50.5 dst=208.38.61.228 sport=59440
> >>dport=25 [UNREPLIED] src=208.38.61.228 dst=212.36.20.1
> >>50 sport=25 dport=59440 use=1
> >>
> >>
> >>
> >>
> >
> > Това с UDP записа ме съмнява да е проблем (по-скоро имаш неизгладен NAT
> > относно NTP). Но записа за TCP по-долу би ме накарал да проверя първо
> > излъчвателя и второ TTL-а на пакетите. Не искам да се обзалагам, но това
> > е пакет с голям TTL. Случайно да имаш при себе си TTL филтър, който да
> > следва някъде политика DROP?
> >
> > Прегледай пакетите на източника. Виж дали той не си играе нещо с TTL
> > параметъра.
> >
> > Също така, виж дали не използваш филтър за TCP сесии, който вместо да
> > следва политика RESET, следва политика DROP. Честа грешка е да се
> > направи NAT рутер и в/у него да се наблъскат един куп DROP политики по
> > отношение на TCP сесии. При едно сканиране от страна на хост зад NAT към
> > хост, който е някъде в Интернет, се получават точно едни такива хубави
> > неща.
> >
> > Няма да е зле да кажеш нещо за топологията. Особено за тази нейна част
> > м/у рутера и 192.168.50.5. Иначе се сещам за още 2 причини, но наистина
> > трябва да се покаже топологията..
> >
> > Поздрави
> > Весо
> >
> >
>
>
> Топологията е доста стандартна:
> Няколко linux router-a стоят зад един Linux gateway на който се извършва
> маскарад.
>
> от рода:
> iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d ! 192.168.0.0/16 -o
> eth0 -j SNAT --to REAL_IP
>
> Проблема е започна да става поради следната причина:
> 1. Медията която използвам е wireless, и тя при голям брой едновремени
> връзки (5000-1000) почва да се разпада !!!
>
> От извесно време наблюдавам че някой клиенти имат огромен брой връзки
> /proc/net/ip_conntrack
> Например един клиент (1 PC) държи по 1000-2000 връзки който се държат
> много време.
> За да оправя това се налага да рестартирам Linux gateway (което като
> решение си е доста просто и просташко).
> Вероятно има при този клиент и вируси (познайте на какво работи ...)
>
> Някой от тях ги оправиш като ми инсталираш Linux с транспаретно прокси при
> тях, и така многото конкуретни връзки от тях драстично намаляха, т.е. те
> си останаха при техния сървер.
>
> Иначе не мога да конкретизирам точно какъв е вируса, защото трафика не ми
> е обърнат, а създават много връзки към един или няколко dest-port 80 (може
> би Troyan.StartPage)
>
> Ето и както прави:
>
> tcp 6 162320 ESTABLISHED src=192.168.9.8 dst=213.16.55.67 sport=1402
> dport=80 src=212.36.20.145 dst=192.168.9.8 sport=3
> 128 dport=1402 [ASSURED] use=1
> tcp 6 429266 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=2807
> dport=80 src=212.36.20.145 dst=192.168.9.8 sport=
> 3128 dport=2807 [ASSURED] use=1
> tcp 6 338364 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=2386
> dport=80 src=212.36.20.145 dst=192.168.9.8 sport=
> 3128 dport=2386 [ASSURED] use=1
> tcp 6 271362 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=1306
> dport=80 src=212.36.20.145 dst=192.168.9.8 sport=
> 3128 dport=1306 [ASSURED] use=1
> tcp 6 248043 ESTABLISHED src=212.36.20.145 dst=192.168.9.8 sport=3128
> dport=3643 [UNREPLIED] src=192.168.9.8 dst=212.36
> .20.145 sport=3643 dport=3128 use=1
>
> От тука се вижда че времето на остановяване е доста голямо
>
> Направиш и следното:
> echo 900 > /proc/sys/net/ipv4/tcp_keepalive_time
>
> Но въпреки това даже и когато го изключа този клиент то връзките остават
> да висят продължително време.
>
> А не мога при всеки краен клиент да инсталирам Linux с транспаретно прокси
> и маскарад.
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d ! 192.168.0.0/16 -o
> eth0 -j SNAT --to REAL_IP
тук си мисля, че това -d ! 192.168.0.0/16 е излишно, защото ще бъде
винаги изпълнено.
> ============================================================================
> A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
> http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
> To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
> ============================================================================
>
--
Milen Trifonov <antracit1@xxxxx>
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|