PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables Problem => ipconntrack



xFraggeR
14.02.08, 21:39
Hi und guten Abend,

habe ein kleines Problem, dass nun schon 2mal aufgetaucht ist, nachdem ich folgendes Firewallscript aktiviert habe


#!/bin/bash
IPT=/sbin/iptables

# eth0 = 80....xxx (extern)
# eth1 = 10.0.0.xxx (lokal)

##########
## INIT ##
##########
$IPT --flush
$IPT --table nat --flush
$IPT --delete-chain
$IPT --table nat --delete-chain

##############
### FILTER ###
##############
$IPT -A INPUT -t filter -i lo -j ACCEPT
$IPT -A INPUT -t filter -i eth1 -j ACCEPT
$IPT -A INPUT -t filter -p icmp -j ACCEPT

### ALLOW CONNECTED ONES ###
$IPT -A INPUT -t filter -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

### ALLOW SOME PORTS FROM OUTSITE ###
$IPT -A INPUT -t filter -i eth0 -p tcp --dport 80 -j ACCEPT

### REJECT THE OTHERS ###
$IPT -A INPUT -t filter -i eth0 -j REJECT --reject-with icmp-port-unreachable

### ALLOW EVERYTHING FOR OUTPUT ###
$IPT -A OUTPUT -t filter -o lo -j ACCEPT
$IPT -A OUTPUT -t filter -o eth0 -j ACCEPT
$IPT -A OUTPUT -t filter -o eth1 -j ACCEPT


Das ganze ist auf einem Webserver, der nur für Bilder zuständig ist. Hier liegen Profilbilder von ca 350000 usern, wovon jeden Abend ca. 16k gleichzeitig online sind. Das Skript wurde aktiviert, 2 Tage später bricht die Netzwerkverbindung an und zu ab und geht dann wieder, im syslog erscheint folgendes durchgehend:



Feb 14 21:32:24 lofile2 kernel: printk: 664 messages suppressed.
Feb 14 21:32:24 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:31 lofile2 kernel: printk: 337 messages suppressed.
Feb 14 21:32:31 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:34 lofile2 kernel: printk: 512 messages suppressed.
Feb 14 21:32:34 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:41 lofile2 kernel: printk: 297 messages suppressed.
Feb 14 21:32:41 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:44 lofile2 kernel: printk: 305 messages suppressed.
Feb 14 21:32:44 lofile2 kernel: ip_conntrack: table full, dropping packet.


okay, nun habe ich das ipfilter skript deaktiviert (nur flush kram ausgeführt) und sogar die netzwerk restarted. Die Meldung geht weiter, bis die Kiste neugestartet wird. Danach ist ruhe, solange bis das Skript wieder aktiviert wird (ca 1,5 tage - 2 tage später gehts weiter)

woran liegt das? was mache ich falsch?
die externe IP wird nur für webanfragen benutzt, die bilder kommen via samba auf dem internen interface rein.

es handelt sich um ein stable-debian etch mit dem kernel:

Linux lofile2 2.6.18-5-amd64 #1 SMP Tue Oct 2 20:37:02 UTC 2007 x86_64 GNU/Linux

1,6GHz dual xeon system mit 16gig ram.

Es lief alles monatelang, bis ich auf die Idee kam es sicherer machen zu wollen.

jemand ne idee? danke im vorraus

Aqualung
14.02.08, 21:50
Vielleicht hilft Dir

http://www.luga.at/mailing-lists/luga/2003/02/msg00146.html

weiter.

HTH Aqualung

xFraggeR
14.02.08, 21:52
danke schonmal,

der wert is bereits auf 65536
macht es sinn den noch höher zu drehen ?

kann man iptables auch one connection tracking fahren?

Aqualung
14.02.08, 22:00
Siehe:

http://lists.netfilter.org/pipermail/netfilter-devel/2002-December/010040.html


HTH Aqualung

rep
14.02.08, 23:34
und mach ein Kernelupdate von Etch... wegen der Sicherheit. :-)

Reines Interesse, ist für den Anwendungsfall überhaupt der 16gig speicher nötig, oder macht der noch mehr? Reines Interesse :-)

xFraggeR
15.02.08, 08:12
in dem Fall sind sie nötig, da sehr viele Bilder dann einfach im Ram liegen, ist aber nichts gegen den memcache server (der übrigens die gleichen Probleme hatte) mit 32GB Ram =)

Falls es wen Interessiert, es geht um das (mittlerweile 38 Server) Projekt www.schueler.cc

vielen dank auf jedenfall, habt mir echt geholfen....

rep
15.02.08, 09:58
Geholfen, was hast du denn nun gemacht, oder haste die Sicherheit hinten angestellt?

Also es gibt abgesehen von der große dieser conntrackt Tabelle doch auch andere Netzlimitz, weiß gerade nicht wie ich das sonst ausdrücken soll. Aber die gleichzeitig bestehenden Verbindungen sind doch nicht oben End...

Gibt es hier vielleicht auch eine Seite oder Maßnahmen die Du da berücksichtigen musst, bzw. für eventuelle Zuwachzahlen im Auge haben müsstest?

Gruß

xFraggeR
15.02.08, 10:03
also vorläufig hab ich, nach anleitung auf den links, die möglichen connections erstmal um einiges erhöht.... (500k statt 65k)

Zuwachszahlen sind in sofern nicht das Problem, da bald neue Fileserver dazukommen und die sich die Last teilen werden.

Falls jmd allerdings noch einen besseren Vorschlag hat, bitte melden

rep
15.02.08, 10:28
Also da Firewalls mittels iptables unter umständen auch per Bridge ganze Netzsegmente sichern können, und ich das eventuell mal vor haben, würde jede Verbindung über einen Rechner mit solch einem Ähnlichen Skript gehen...

Da würde die Grenze dann denke ich schneller Erreicht werden, da ja mehrere Produktive Systeme dahinter stehen.... daher meine Frage schon mal grundsätzlich ein bisschen vorbereitend :-)