Re: lug-bg: брой ip_conntrack з а IP
- Subject: Re: lug-bg: брой ip_conntrack з а IP
- From: Georgi Alexandrov <tehlists@xxxxxxxxxx>
- Date: Tue, 17 May 2005 16:06:51 +0300
foxy 202 wrote:
Това което искам да направя е да лимитирам ip_conntrack
нишките през рутера така че примерно от IP 192.168.10.30 да не могат
да се създадат повече от например 500 едновременно работещи нишки за
IP
в момента при пускне на EMule , Overnet , Edonkey клиенти в мрежата
всеки IP адрес прави по няколко хиляди нишки през сървъра и като ефект
се получава
ip_conntrack: table full, dropping packet.
ip_conntrack: table full, dropping packet.
предполагам че проблема не е само при мен :)
Увеличяването на ip_conntrack_max не може да е безкрайно така че
всеки съвет как да се отърва от проблема ще е от полза
п.с.
видях че iptables след 1.2.11 поддържа connlimit което смятам да пробвам но
май то е за порт а не за всечки портаве :(
Здравей,
ip_conntrack_max принципно може да се увеличава през /proc да, въпросът обаче дали е редно да се прави остава.
Т.е. идеята ми е, че default стойността на ip_conntrack_max се изчислява по формула включваща наличната ram памет,
следователно може да има и странични ефекти (това е само теория:).
За connlimit:
"iptables connlimit match
This adds an iptables match which allows you to restrict the number of
parallel TCP connections to a server per client IP address (or address
block)."
т.е. подобен ред би трябвало да бъде напълно функционален:
iptables -A FORWARD -p tcp --syn -s 192.168.10.30 -m connlimit --connlimit-above 500 -j REJECT
поздрави,
Георги Александров
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|