From: Serdar KOYLU (serdar@uludag.org.tr)
Date: Wed 30 Mar 2005 - 14:51:51 EEST
Selamlar..
> Selamlar...
>
> Serdar bey,
> /proc/sys/net/ipv4/netfilter altındaki değerler bunlar :
>
> /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets --> 2560
> /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout --> 600
> /proc/sys/net/ipv4/netfilter/ip_conntrack_icmp_timeout --> 30
> /proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid --> 0
> /proc/sys/net/ipv4/netfilter/ip_conntrack_max --> 20480
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal --> 0
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_loose --> 3
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_max_retrans --> 3
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close10
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait --> 60
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established --> 432000
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait --> 120
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack --> 30
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_max_retrans --> 300
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv --> 60
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent --> 120
> /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait --> 120
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout --> 30
> /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream --> 180
>
>
> şeklinde
Bu değerlerde hatalı görünen bir durum yok. conntrack listeniz
dolduğunda, listeye bir bakın. ESTABLISHED, TIME_WAIT gibi durumda olan
bağlantıları inceleyin. Hangisi daha çok. Yukarıdaki verilere göre,
ESTABLISHED olmayan tüm bağlantılar, 3 dakika içinde silinmeli tablodan.
Eğer, bir firewall vs. sorunu yüzünden, ESTABLISHED olmuş bağlantılar
kopuyor, FIN vs. yollayamıyorsa, bu durumda bağlantıyı kurmaya çalışan
taraf defalarca deneyebilir, sonuçta timeout'u yüksek olan bu
bağlantılar bir süre sonra tabloyu doldurur. Benzer bir durum, mesela,
bir virüs, program vs. boyuna bağlantı kuruyor, onu kapatmadan başka
bağlantı kuruyor vs. vs. derken, biri power'a basıp aleti kapatırsa
ortaya çıkabilir. Ağ durumunuzu bir inceleyin, bu tür kullanımı vs. bir
gözetleyin. Kısa vadede,
echo 3600 >
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
gibi bir düzenlemeyle, timeout'ları düşürüp tablonun daha çabuk
boşaltılmasını sağlayabilirsiniz. Bunun pratikte pek bir zararı olmaz,
ama bir firewall kuralınız, ESTABLISHED paketlerle iş yapıyorsa, 1
saatten uzun download yapan ftp istemcileri varsa vs. belki sorun
çıkarabilir.
Saygı ve sevgiler..
_______________________________________________
Linux-ag mailing list
Linux-ag@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-ag