From: Hakan Ünuz (hakan@akgunuz.com)
Date: Fri 25 Mar 2005 - 17:26:47 EET
Selamlar...
Serdar bey,
/proc/sys/net/ipv4/netfilter altındaki değerler bunlar :
/proc/sys/net/ipv4/netfilter/ip_conntrack_buckets --> 2560
/proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout --> 600
/proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout --> 30
/proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid --> 0
/proc/sys/net/ipv4/netfilter/ip_conntrack_max --> 20480
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal --> 0
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_loose --> 3
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_max_retrans --> 3
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close10
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait --> 60
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established --> 432000
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait --> 120
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack --> 30
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_max_retrans --> 300
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv --> 60
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent --> 120
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait --> 120
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout --> 30
/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream --> 180
şeklinde
iyi çalışmalar...
-hakan ünuz
-----Original Message-----
From: linux-ag-bounces@liste.linux.org.tr
[mailto:linux-ag-bounces@liste.linux.org.tr] On Behalf Of Serdar KOYLU
Sent: Friday, March 25, 2005 4:14 PM
To: linux-ag@liste.linux.org.tr
Subject: Re: [Linux-ag] kernel: ip_conntrack: table full, dropping packet.
Selamlar..
ip_conntrack_core, her baglanti icin bir timer yaratir. Bu timer (bir tur
watchdog) timeout olunca, bu entry'yi tablodan siler.
timeout zamani, tablo boyu vs. icin
/proc/sys/net/ipv4/netfilter
dizinindeki alakali dosyalara bir bakabilir, conntrack ile alakali olanlari
not ederseniz, bazi yorumlarda bulunabiliriz saniyorum..
Saygi ve sevgiler..
> Selamlar,
>
>
> Şöyle garip bir sorunum var,
>
> server:
> double cpu / Celeron 500 / 398 MB ram / birkaç disk / 2 ethernet /
> adsl ile internet'e bağlantı
> client: (60 pc xp pro)
>
> daha önce suse 9.0 ile sistemde herhangi bir problem yoktu, bir ara hd
> bozulunca 1 ay kadar direk adsl modem üzerinden çalışıldı.
> hd geldikten sonra suse pro 9.2 yükledim, updateler'i yaptım...
> --------------------------------------
> tipsy:~ # uname -a
> Linux tipsy 2.6.8-24.11-smp #1 SMP Fri Jan 14 13:01:26 UTC 2005 i686
> i686
> i386 GNU/Linux
> tipsy:~ # iptables -V iptables v1.2.11
> --------------------------------------
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128 #(eth1 adsl'ye bakan taraf) iptables -t nat -I
> POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
>
> şeklinde iptables tanımlarım var squid transparent olarak (squid guard
> ile
> birlikte) gayet güzel çalışıyor hiçbir problem yok.
>
> Ancak, 2 günde yada yoğunluğa bağlı olarak 4 günde bir server,
> syslog'a
> -------------------------
> Mar 19 07:02:51 tipsy kernel: ip_conntrack: table full, dropping packet.
> Mar 19 07:02:56 tipsy kernel: ip_conntrack: table full, dropping packet.
> Mar 19 07:03:01 tipsy kernel: ip_conntrack: table full, dropping packet.
> -------------------------
> şeklinde log üreterek takılıyor. (sistem çalışmaya devam ediyor)
>
> Ve internet bağlantısı gidiyor, sadece boot ederek geri
> getirebiliyorum bağlantıyı (network stop/start yada ifconfig eth0/eth1
down/up da olmuyor).
>
>
> Google da baya bir baktım ama herkes
> /proc/sys/net/ipv4/ip_conntrack_max in değerini yükselt gibilerinden
> bişiler yazmış ama problem o değeri yükselterek te giderilmiyor, ana
> problem sistemin bir şekilde kullanılmayan bilgileri oradan atamaması
(expire) gibi gözüküyor...
>
> Daha önceleri /proc/net/ip_conntrack içindekileri görmek için
> kullandığım minik bir betik vardı onu çalıştırarak ne olduğunu anlamaya
çalıştım.
>
> vardığım sonuç (herhalde böyle olmalı diyorum) /proc/net/ip_conntrack
> içindeki bilgiler bir şekilde sistemde kalıcı oluyor yani server
> kullanılmadığında eskiden bu bölüm örneğin 1 saat içinde boşalırdı
> yada sabah baktığımda boş olurdu, fakat her ne hikmetse bir şekilde
> burası boşalmıyor yada expire time la ilgili anlamsız bir problem var
> ve ben bunun nerede olduğunu bulamadım.
>
> yada ben birşeyleri yanlış anlıyor veya yapıyorum....
>
> bu konu hakkında fikir ve yorumlarınızı almak isterim
>
> hakan ünuz
_______________________________________________
Linux-ag mailing list
Linux-ag@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-ag