ip_conntrack: table full, dropping packet

Radosław Kintzi lists w eth0.prv.pl
Pon, 13 Paź 2003, 23:32:44 CEST


On Mon, Oct 13, 2003 at 12:55:15PM +0200, Krzysztof Wittek wrote:
> On Mon, Oct 13, 2003 at 12:47:01PM +0200, Radosław Kintzi wrote:
> > Witam grupowiczów
> > 
> > Po ok 12 godzinach działania routerka dostaje w logach:
> > Oct 13 14:16:21 conan kernel: ip_conntrack: table full, dropping packet.
> > Oct 13 14:16:26 conan kernel: NET: 156 messages suppressed.
> > 
> > I oczywiście ludziska wydzwaniają do mnie, że im sieć nie działa.
> > Cały system to AC.
> 
> 
> Wystarczy ustawić sobie odpowiednią wartość
> /proc/sys/net/ipv4/ip_conntrack_max 
> oraz pozmniejszać trochę czasy trzymania połączeń na maskaradzie
> ponieważ tysiące sesji donkeya kaazy i innego dziadostwa potrafią wisieć
> godzinami.

Właśnie do tego zajrzałem. Na obydwu systemach (działającym debianie i
niedziałającym PLD) mam w /proc/sys/net/ipv4/ip_conntrack_max zbliżone
wartości (większą na PLD). Oczywiście zwiększę sobie tą wartość. Thx.
Obserwuję od pewnego czasu system z Debianem i widzę, że 
cat /proc/net/ip_conntrack  | wc -l waha się w okolicach 3-3,5 tys.
Maksimum ustalone jest na 4088.

Jeżeli możesz mi jeszcze powiedzieć, jak zmniejszyć czasy trzymania
połączeń na maskaradzie, to byłoby super. Jakoś nie mogę znaleźć nic na 
ten temat, po za stwierdzeniem w "Linux 2.4 NAT HOWTO", że: ustawianie 
czasów za pomocą ipchains -S -M, lub ipfwadm -M -s niczego nie jest 
wspierane, i że ponieważ czasy zostały wydłużone nie powinno to mieć 
znaczenia. 

Pozdr,
R

-- 
Radosław Kintzi
mailto:radzio w pld-linux.org
gg:2199600



Więcej informacji o liście dyskusyjnej pld-users-pl