On Fri, May 14, 2004 at 04:59:21PM +0200, Al Bogner wrote:
Am Donnerstag, 13. Mai 2004 23:14 schrieb Karsten Keil:
On Thu, May 13, 2004 at 10:01:08PM +0200, Al Bogner wrote:
Am Mittwoch, 12. Mai 2004 11:54 schrieb Karsten Keil:
Da das Autotimeout stark von Firwallsettings und vom Traffik abhängig ist, kann es durchaus sein das unerwünschter Traffik es so aussehen lässt, als ob es Probleme gibt. Hier kann nur eine gründliche Analyse mit tcpdump (Namesauflösung abschalten) helfen den Schuldigen zu finden.
Ich habe mir das nun etwas näher angesehen, und ich könnte mir vorstellen, dass der Kernel nicht genug filtert.
Der kernel filtert ja auch nichts, das soll er ja auch nicht machen. Nur sollen bestimmte Pakete nicht den IDLE counter resetten, dummerweise kann man das nicht ohne zusaaetlichen debug code im kernel sichtbar machen.
Du hast recht, ich meinte, dass vielleicht der Code zur Kerneloption CONFIG_IPPP_FILTER geändert wurde und das Verhalten nun deswegen ein anderes ist.
Die Filterregel steht im /etc/ppp/ioption file, die Synax entspricht tcpdump.
7 packets captured 107 packets received by filter 0 packets dropped by kernel
Zur Zeit: uname -r 2.6.4-54.5-default
Ich behaupte mal, dass das Timeout nach kernel-default-2.6.4-54.3.i586.patch.rpm mit dem Hisax-Treiber funktionierte.
Das Timeout ist auf 180 eingestellt. Im folgenden siehst du etwas mehr als 3 Minuten, wo ich keinen ausgehenden Traffic, der zählen sollte, gesehen habe:
Doch DNS Anfragen.
Die gab es unter 8.2 aber auch schon und da merkte ich die Disconnects deutlich. Kann man diese automatischen DNS.-Abfragen filtern?
Nein die DNS Anfragen kamen nur durch tcpdump selbst (ohne -n versucht er bei jedem Paket die adresse aufzulösen, wenn sie nicht schon im Cache ist).
Theoretisch sollte: tcpdump -v -n -i ippp0 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 0'
Dir genau die schuldigen Pakete anzeigen.
Leider "sollte". 3 Minuten vergehen, tcpdump gibt nichts aus und der Disconnect passiert nicht. Allerdings habe ich manchmal Disconnects.
Das habe ich schon fast vermutet, alle Pakete werden wahrscheinlich von tcpdump als inbound erkannt und damit nicht angezeigt. probier mal folgende Regel: 'src host 1.1.1.1 and not icmp[0] == 3 and not tcp[13] & 4 != 0' 1.1.1.1 durch Deine IP Adresse am ippp0 ersetzen. Diese Regel ist unabhängig vom (In/Out Flag, das nur für die ativ/passiv filter gesetzt werden kann, aber nicht für die abgehörten Pakete bei TCP dump. -- Karsten Keil SuSE Labs ISDN development