mbo
12.03.04, 09:00
Hallo zusammen,
ich vermute mal, ich bin nicht der einzige, der im laufe der Zeit dieses Problem schon hatte ;)
Im Moment bin ich auf der Suche nach Q&D-Lösungen, bzw. eine Strukturierung des K-Falles.
Kleine Vorgeschichte: Der Rechner ist ein alter IBM mit 32 MB RAM, auf dem nur Bind9 und iptables läuft. ip-conntrack hatte mittlerweile 3 Werte: 2048, 10240, 15560; die ersten beiden sind geplatzt und schon lief die dropped-Parade.
Der einfachste Weg:
ich@bei mir#> /proc/net/ip_conntrack
Macht sich nicht wirklich gut, wenn man gerade selbst per SSH drauf ist
Ich habe mir jetzt zwei Möglichkeiten ausgedacht:
ip_conntrack-Wert ${limit} +1 erfordert eine iptables-Regel, die alle "NEWS" blockt, bis ip_conntrack-Wert ${limit} - 100
Logischer Weise ist das Limit ein paar Verbindungen unter der Grenze, und per iptables werden noch bestimmte Zugriffe erlaubt
Die zweite Möglichkeit:
Nach 24 Std. alle Verbindungen aus der ip_conntrack schmeißen, die älter als 24 Stunden sind.
Sauber wäre es natülich, wenn man iptables neu kompiliert und den Wert für die Verbindungen auf 3 Tage runter setzt, oder auch 1 Tag ... aber bei wirklichen Langläufern wird es unangenehm, wohl aber nicht unangenehmer als Lösung 2.
Und den ganzen Text habe ich eigentlich nur geschrieben, um Anregungen zu bekommen.
Ich hoffe auf gute Ideen ... beschimpfungen gegenüber meines Intellekts und meiner Logik bitte nur in höflicher Form ;)
cu/2 iae
ich vermute mal, ich bin nicht der einzige, der im laufe der Zeit dieses Problem schon hatte ;)
Im Moment bin ich auf der Suche nach Q&D-Lösungen, bzw. eine Strukturierung des K-Falles.
Kleine Vorgeschichte: Der Rechner ist ein alter IBM mit 32 MB RAM, auf dem nur Bind9 und iptables läuft. ip-conntrack hatte mittlerweile 3 Werte: 2048, 10240, 15560; die ersten beiden sind geplatzt und schon lief die dropped-Parade.
Der einfachste Weg:
ich@bei mir#> /proc/net/ip_conntrack
Macht sich nicht wirklich gut, wenn man gerade selbst per SSH drauf ist
Ich habe mir jetzt zwei Möglichkeiten ausgedacht:
ip_conntrack-Wert ${limit} +1 erfordert eine iptables-Regel, die alle "NEWS" blockt, bis ip_conntrack-Wert ${limit} - 100
Logischer Weise ist das Limit ein paar Verbindungen unter der Grenze, und per iptables werden noch bestimmte Zugriffe erlaubt
Die zweite Möglichkeit:
Nach 24 Std. alle Verbindungen aus der ip_conntrack schmeißen, die älter als 24 Stunden sind.
Sauber wäre es natülich, wenn man iptables neu kompiliert und den Wert für die Verbindungen auf 3 Tage runter setzt, oder auch 1 Tag ... aber bei wirklichen Langläufern wird es unangenehm, wohl aber nicht unangenehmer als Lösung 2.
Und den ganzen Text habe ich eigentlich nur geschrieben, um Anregungen zu bekommen.
Ich hoffe auf gute Ideen ... beschimpfungen gegenüber meines Intellekts und meiner Logik bitte nur in höflicher Form ;)
cu/2 iae