/proc a ip_conntrack (2.6.10)

Sekcia: Ostatné 01.02.2005 | 21:51
Apromix   Návštevník
Nazdar .. Videl uz niekto nieco podobne? # cat /proc/net/ip_conntrack |wc cat: /proc/net/ip_conntrack: No space left on device Server ma 1,5GiB pamate, 40% volnej. Dal som si priebezne zaznamenavat pocet ip_conntrack-tov do grafu. Tento jav nastava nepravidelne. Ked nastane, sprevadzaju ho hlasenia kernel: ip_conntrack: table full, dropping packet. Najviac mi zaznamenalo cca 104 000 ip_conntrack-tov (ide o internetovy GW pre velku siet). Potom to prestalo fungovat na niekolko hodin, pomohol az restart. Zatial mam v grafoch zaznamenane len kratke obdobie, aby som mohol presnejsie popisat problem. Jadro 2.6.10. Na nizsich verziach som sa s takymto problemom nestretol, nevylucujem, ze vznikol aj uz aj predtym. Skuste nieco poradit .. Dik ..

Pre pridávanie komentárov sa musíte prihlásiť.

    • Re: /proc a ip_conntrack (2.6.10) 07.01.2005 | 11:34
      Toudy   Návštevník
      to je dake divne, lebo ja take nieco ani nemam.. ja bezim na 2.6.9 a fakt to tam nie je.. a na co to konkretne sluzi ak by som sa mohol spytat?
    • Re: /proc a ip_conntrack (2.6.10) 07.01.2005 | 11:51
      Apromix   Návštevník
      :-) No, na workstation to potrenbe nie je. Ale internetovy GW s NAT-kom to potrebuje ako sol (projekt netfilter/iptables).
    • Re: /proc a ip_conntrack (2.6.10) 08.01.2005 | 17:53
      Toudy   Návštevník
      no iptables su dost potrebne niekedy aj na desktop - firewall.. ale ten nepotrebujem.. sorry s tymto vam asi nepomozem.. :(
    • Re: /proc a ip_conntrack (2.6.10) 09.01.2005 | 21:55
      fixinko   Návštevník
      Toudy: musis to mas zapnute v jadre v netfiltery :) apromix: pozri si ake mas cislo v /proc/sys/net/ipv4/ip_conntrack_max :))) a podla toho sa zariad :) a nezabudni ze nic nie je neobmedzene :)
    • Re: /proc a ip_conntrack (2.6.10) 10.01.2005 | 15:01
      Cejvik   Návštevník
      Cau, delam mi to to same. Stale jsi na nic neprisel?
      Cejvik
    • Re: /proc a ip_conntrack (2.6.10) 10.01.2005 | 15:17
      Cejvik   Návštevník
      Jsem zapomel dodat ze jsem zkousel i zadat echo '8192' > /proc/sys/net/ipv4/ip_conntrack_max nebo nejake jine hodnoty.
    • Re: /proc a ip_conntrack (2.6.10) 11.01.2005 | 02:09
      Avatar zoliq Fedora Core 3  Používateľ
      Ja som mal trosku iny problem (malo ramky), ale mozno to pomoze: pri loadovani modulu ip_conntrack mu skus nastavit parameter hashsize=1024 Cislo mozes skusit zvacsit (podla poctu strojov na sieti).
    • Re: /proc a ip_conntrack (2.6.10) 11.01.2005 | 16:19
      Apromix   Návštevník
      No podla mna No space left on device na procku nesuvisi priamo z netfiltrom, alebo z hashsize, ani z ip_conntrack_max. Hashsize ovplyvni tak rychlost pri vyhladavni v IP_CONNTRACKu. ip_conntrack_max sa vyratava automaticky podla velkosti RAM, pri 1,5 GiB je pre mna postacujuca aj default hodnota. Tych spomenutych 8192 by bolo pre mna sakra malo :-) Toto su pre mna zname veci, vsetko je tak, ako ma byt. Pravdepodobne (nechce sa mi hrabat v zdrojakoch jadra) tam daky limit bude (alokacny, pamatovy, adresny ..) No problem sme vyriesili zabezpecenim, aby klesol pocet IP_CONNTRACK-tov na unosnejsiu mieru. Docielili sme to upravenym default hodnoty ip_conntrack_tcp_timeout_established z 5 dni na 6 hodin. Teraz sa mi IP_CONNTRACK-ty drzia v spicke pod 60 000 a problem sa neopakuje.
    • Re: /proc a ip_conntrack (2.6.10) 12.01.2005 | 00:04
      Avatar zoliq Fedora Core 3  Používateľ
      kernel: ip_conntrack: table full, dropping packet. tuto hlasku som maval aj ja, dokial som nezvysil hashsize - tiez sa urcuje podla velkosti ramky. Ak sa dobre pamatam (podla man), tak hashsize urcuje velkost celej hashovacej tabulky (obsahujucej vsetky spojenia). Ked uz v nej nebolo miesto tak netfilter zacal pakety zahadzovat.
      • Re: Re: /proc a ip_conntrack (2.6.10) 31.01.2005 | 17:00
        koco   Návštevník
        no ja mam iny problem, kedze mam zatazeny web server, tak som zvysil limit ip_conntrackov az na 1 024 000, za dva dni som dospel k cislu okolo 890 000, tak som znizil timeout zo 6 dni na 5 hodin (po restarte som po troch hodinach mal conntrackov uz nieco cez 100 000) a stale stupaju, som zvedavy, ci ten timeout pomoze ale inak som to chcel riesit, a to prave cez pravidlo: Chain PREROUTING (policy ACCEPT) target prot opt source destination NOTRACK tcp -- anywhere moj.server.sk tcp dpt:www Bohuzial akosik iptables mi toto pravidlo veselo ignoruju a tabulku plnia ostosest nadalej, aj ked som im dal vylucit web. Nevie niekto radu? Myslim, ze ten rule tam mam zavedeny dobre (vytvorena tabulka raw).
        • Re: Re: Re: /proc a ip_conntrack (2.6.10) 01.02.2005 | 21:51
          Georg   Návštevník
          Problemom je asi toto: http://lkml.org/lkml/2005/1/1/22 Hi Linus, Andrew (Sending this mail to you since Davem is on vacation) Here's a patch that fixes a pretty serious bug introduced by a recent "bugfix". The problem is that RST packets are ignored if they follow an ACK packet, this means that the timeout of the connection isn't decreased, so we get lots of old connections lingering around until the timeout expires, the default timeout for state ESTABLISHED is 5 days. This needs to go into -bk as soon as possible. The bug is present in 2.6.10 as well.
LinuxOS.sk © 2004-2024 | LinuxOS.sk - Team | ISSN 1337-7639 | Osobné údaje | Odber noviniek
Hosting sponzorovaný vpsFree.cz o.s.