iptables+ip_conntrack
Łukasz Woźniak
wozny99 w poczta.onet.pl
Nie, 25 Sty 2004, 19:10:03 CET
25 stycznia 2004, 18:20:41, btower napisal:
b> Dnia nie 25. stycznia 2004 13:12, Łukasz Woźniak napisał:
>> Witaj Eksploatorzy,
>>
>> ma taki problem
>> # cat /proc/net/ip_conntrack |wc -l
>> 31707
>> cat /proc/net/ip_conntrack |grep -c UNREPLIED
>> 30902
>> standartowo mialem okolo 32000 zmienilem
>> na 65536 bo juz sie sypal ze tablica pelna
>> echo 65536 > /proc/sys/net/ipv4/ip_conntrack_max
>>
b> Identyczny problem miałem choć nie na taką skalę jak Ty. Nie ma szans żeby u
b> mnie ip_conntrack mógł się sończyć i sie nie skończył ale był zapchany tak że
b> połowa pakietów się gubiła. Dopiero restart sieci coś pomógł ale zapchane
b> było nadal ale już jako-tako chodziło.
polaczenia w ip_conntrack w stanie UNREPLIED sa wywalane gdy nie ma
miejsca na nowe z tego co wyczytale.
zrobilem jeszcze taki myk jak ponizej poniewaz zauwazylem ze wiekszosc
tych polaczen UNREPLIED jest w stanie ESTABLISHED wiec zmniejszylem
czas coby nie lezaly 5 dni po takich poprawkach reboot'cie teraz jak
narazie jest oki
echo 65536 > /proc/sys/net/ipv4/ip_conntrack_max
echo 7200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 300 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
# uptime
19:04:06 up 4:53, 1 user, load average: 0.11, 0.22, 0.18
# cat /proc/net/ip_conntrack |wc -l
922
cat /proc/net/ip_conntrack |grep -c UNREPLIED
354
teraz jest duzo lepiej ale to dopiero 5h uptime'u
b> Też używam tego jajka.
b> Powiadasz że nie znalazłeś patcha w cvs?
b> hmmm... no nie dobrze.
nie zauwazylem by byl wpisany gdzies w cvs'ie ale przyznaje tez ze nie
szukalem zbyt dlugo bo brak czasu mam okropny jutro dwa egzaminy i
siedze kuje:| moze ty masz wiecej czasu ?? :)
--
Pozdrowienia,
Łukasz Woźniak wozny99 w poczta.onet.pl
Więcej informacji o liście dyskusyjnej pld-users-pl