Hallo, Am Thu, 08 Dec 2005, Matthias Keller schrieb: [..]
Daher nun meine Folgefrage: Eigentlich hätte ich gerne dass diese Pakete durchgelassen werden -- also eben genau die policy: nach aussen alles allow -- ob das wohl geht?? in den iptables sehe ich jedenfalls nix mehr, das scheint irgendwo intern zu laufen das conntrac... ? Jetzt erlaubt er ja nur: state NEW,RELATED,ESTABLISHED Eigentlich möchte ich für solche - meiner meinung nach simplen - sachen ohne custom rules auskommen....
Aus den Sourcen net/ipv4/netfilter/ unsigned long ip_ct_tcp_timeout_syn_sent = 2 MINS; unsigned long ip_ct_tcp_timeout_syn_recv = 60 SECS; unsigned long ip_ct_tcp_timeout_established = 5 DAYS; unsigned long ip_ct_tcp_timeout_fin_wait = 2 MINS; unsigned long ip_ct_tcp_timeout_close_wait = 60 SECS; unsigned long ip_ct_tcp_timeout_last_ack = 30 SECS; unsigned long ip_ct_tcp_timeout_time_wait = 2 MINS; unsigned long ip_ct_tcp_timeout_close = 10 SECS; Evtl. kannst du in /sys oder /proc/ was einstellen (s.a. sysctl.conf). Ja, sieht so aus als ob man da mit sysctl an den timeouts drehen kann. Jup, schon mit Kernel-2.4: # sysctl -a | grep conntrack net.ipv4.ip_conntrack_max = 20472 net.ipv4.netfilter.ip_conntrack_generic_timeout = 600 net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30 net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180 net.ipv4.netfilter.ip_conntrack_udp_timeout = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120 net.ipv4.netfilter.ip_conntrack_buckets = 2559 net.ipv4.netfilter.ip_conntrack_max = 20472 Siehe auch 'man sysctl' und 'man sysctl.conf'. HTH, -dnh -- [Filialleiter aus den USA] Wir [in FFM] mögen doch bitte den Hausmeister aus- findig machen, er hätte sich 3 Tage nicht gemeldet und die Schreibtischlampe wäre immer noch kaputt. Pech gehabt - die Pappnase hatte dem Hausmeister eine Woche vorher selbst gekündigt und keinen neuen eingestellt. -- B. Mangelsdorff