[LUGOS] iptables 2.4 tabele; contrack; ip routing

Marko Bevc fonzie na kibla.org
Čet Maj 8 13:08:48 CEST 2003 

Pozdravljen!

On Thu, 8 May 2003, Stojan Rancic wrote:

> Hojla Martin,
> 
> Thursday, May 8, 2003, 11:57:19 AM, si napisal(a):
> 
> 
> > Torej lahko sledi 16376 povezav. In recimo, da je za natom kakih 300 mašin pa 
> > vsaka laufa kazza oz. kero podobno p2p aplikacijo, kjer skupno št. povezav 
> > preseže 16376. Kaj se potem zgodi?
> 
> Zdi se mi, da conntracking dela po principu FIFO.. torej, ko se
> napolni, padejo stare povezave ven ter se nadomestijo z novimi. Torej,
> ko ti bodo uporabniki napolnili ip_conntrack_max povezav, se bodo
> stare porusile (padle konekcije,..) in namesto njih vzpostavile nove.

hehe, to bi bilo super ce bi tako bilo:) v praksi zadeva caka 5 dni:( in v 
primeru, da se ti zapolnijo vse povezave kernel enostavno dropa vse nove 
connectione(tako, da si bolje malo več nastavit zadevo)! v primeru adv 
routinga ti 16376 skoraj ne zadostuje, posebaj če so kaaze zadaj:))

> 
> > Se da porihtat tako, da se ta št. avtomatično dviguje po potrebi? (Brez
> > hackanja kernela)?
> 
> Dvomim.. sicer pa , a ne mores sam vpisat dovolj velike stevilke v
> /proc/sys/net/ipv4/ip_conntrack_max ? Po drugi strani lahko gres pa
> patchat netfilter (vec informacij tule:
> http://www.collaborium.org/onsite/benin/docs/services/NETFILTER_RELATED/netfilter-extensions/netfilter-extensions-HOWTO.html#toc3 ),
> kjer dobis podporo za explicitno nastavljanje casa poteka sej..

ne brez hacking-a ne bo šlo, vendar kot je rekel stojav nastavi zadevo 
ročno dovolj visoko pa nebo težav.

> 
> > Lahko to uredim z iptables? Zdi se mi da ne.
> > Se to počne z kakimi routing tabelami?
> 
> Zdi se mi, da bi se dalo to delat s paketom iproute2
> (http://www.linuxgrill.com/iproute2-toc.html) .. Nekaj v stilu
> 
> ip ro add 2.3.4.5 dev eth1
> 
> kjer je 2.3.4.5 drugi javni IP, ki ti ga je dodelil ISP.. Nekaj
> podobnega moras potem nastaviti tudi na remote masini
> 
> ip ro add 0.0.0.0 dev eth0
> 
> (to je precej iz glave, tako da sintaksa ni nujno cisto pravilna ;)
> 

hja zadeva je takšna, ker imaš na voljo samo 2 IP-ja je ključna beseda 
zate Proxy-ARP! (mašina se oglaša za drugi IP vendar posreduje paketke na 
drugo mašino).

lp,
Marko

Dodatne informacije o seznamu lugos-list