xFraggeR
14.02.08, 21:39
Hi und guten Abend,
habe ein kleines Problem, dass nun schon 2mal aufgetaucht ist, nachdem ich folgendes Firewallscript aktiviert habe
#!/bin/bash
IPT=/sbin/iptables
# eth0 = 80....xxx (extern)
# eth1 = 10.0.0.xxx (lokal)
##########
## INIT ##
##########
$IPT --flush
$IPT --table nat --flush
$IPT --delete-chain
$IPT --table nat --delete-chain
##############
### FILTER ###
##############
$IPT -A INPUT -t filter -i lo -j ACCEPT
$IPT -A INPUT -t filter -i eth1 -j ACCEPT
$IPT -A INPUT -t filter -p icmp -j ACCEPT
### ALLOW CONNECTED ONES ###
$IPT -A INPUT -t filter -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
### ALLOW SOME PORTS FROM OUTSITE ###
$IPT -A INPUT -t filter -i eth0 -p tcp --dport 80 -j ACCEPT
### REJECT THE OTHERS ###
$IPT -A INPUT -t filter -i eth0 -j REJECT --reject-with icmp-port-unreachable
### ALLOW EVERYTHING FOR OUTPUT ###
$IPT -A OUTPUT -t filter -o lo -j ACCEPT
$IPT -A OUTPUT -t filter -o eth0 -j ACCEPT
$IPT -A OUTPUT -t filter -o eth1 -j ACCEPT
Das ganze ist auf einem Webserver, der nur für Bilder zuständig ist. Hier liegen Profilbilder von ca 350000 usern, wovon jeden Abend ca. 16k gleichzeitig online sind. Das Skript wurde aktiviert, 2 Tage später bricht die Netzwerkverbindung an und zu ab und geht dann wieder, im syslog erscheint folgendes durchgehend:
Feb 14 21:32:24 lofile2 kernel: printk: 664 messages suppressed.
Feb 14 21:32:24 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:31 lofile2 kernel: printk: 337 messages suppressed.
Feb 14 21:32:31 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:34 lofile2 kernel: printk: 512 messages suppressed.
Feb 14 21:32:34 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:41 lofile2 kernel: printk: 297 messages suppressed.
Feb 14 21:32:41 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:44 lofile2 kernel: printk: 305 messages suppressed.
Feb 14 21:32:44 lofile2 kernel: ip_conntrack: table full, dropping packet.
okay, nun habe ich das ipfilter skript deaktiviert (nur flush kram ausgeführt) und sogar die netzwerk restarted. Die Meldung geht weiter, bis die Kiste neugestartet wird. Danach ist ruhe, solange bis das Skript wieder aktiviert wird (ca 1,5 tage - 2 tage später gehts weiter)
woran liegt das? was mache ich falsch?
die externe IP wird nur für webanfragen benutzt, die bilder kommen via samba auf dem internen interface rein.
es handelt sich um ein stable-debian etch mit dem kernel:
Linux lofile2 2.6.18-5-amd64 #1 SMP Tue Oct 2 20:37:02 UTC 2007 x86_64 GNU/Linux
1,6GHz dual xeon system mit 16gig ram.
Es lief alles monatelang, bis ich auf die Idee kam es sicherer machen zu wollen.
jemand ne idee? danke im vorraus
habe ein kleines Problem, dass nun schon 2mal aufgetaucht ist, nachdem ich folgendes Firewallscript aktiviert habe
#!/bin/bash
IPT=/sbin/iptables
# eth0 = 80....xxx (extern)
# eth1 = 10.0.0.xxx (lokal)
##########
## INIT ##
##########
$IPT --flush
$IPT --table nat --flush
$IPT --delete-chain
$IPT --table nat --delete-chain
##############
### FILTER ###
##############
$IPT -A INPUT -t filter -i lo -j ACCEPT
$IPT -A INPUT -t filter -i eth1 -j ACCEPT
$IPT -A INPUT -t filter -p icmp -j ACCEPT
### ALLOW CONNECTED ONES ###
$IPT -A INPUT -t filter -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
### ALLOW SOME PORTS FROM OUTSITE ###
$IPT -A INPUT -t filter -i eth0 -p tcp --dport 80 -j ACCEPT
### REJECT THE OTHERS ###
$IPT -A INPUT -t filter -i eth0 -j REJECT --reject-with icmp-port-unreachable
### ALLOW EVERYTHING FOR OUTPUT ###
$IPT -A OUTPUT -t filter -o lo -j ACCEPT
$IPT -A OUTPUT -t filter -o eth0 -j ACCEPT
$IPT -A OUTPUT -t filter -o eth1 -j ACCEPT
Das ganze ist auf einem Webserver, der nur für Bilder zuständig ist. Hier liegen Profilbilder von ca 350000 usern, wovon jeden Abend ca. 16k gleichzeitig online sind. Das Skript wurde aktiviert, 2 Tage später bricht die Netzwerkverbindung an und zu ab und geht dann wieder, im syslog erscheint folgendes durchgehend:
Feb 14 21:32:24 lofile2 kernel: printk: 664 messages suppressed.
Feb 14 21:32:24 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:31 lofile2 kernel: printk: 337 messages suppressed.
Feb 14 21:32:31 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:34 lofile2 kernel: printk: 512 messages suppressed.
Feb 14 21:32:34 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:41 lofile2 kernel: printk: 297 messages suppressed.
Feb 14 21:32:41 lofile2 kernel: ip_conntrack: table full, dropping packet.
Feb 14 21:32:44 lofile2 kernel: printk: 305 messages suppressed.
Feb 14 21:32:44 lofile2 kernel: ip_conntrack: table full, dropping packet.
okay, nun habe ich das ipfilter skript deaktiviert (nur flush kram ausgeführt) und sogar die netzwerk restarted. Die Meldung geht weiter, bis die Kiste neugestartet wird. Danach ist ruhe, solange bis das Skript wieder aktiviert wird (ca 1,5 tage - 2 tage später gehts weiter)
woran liegt das? was mache ich falsch?
die externe IP wird nur für webanfragen benutzt, die bilder kommen via samba auf dem internen interface rein.
es handelt sich um ein stable-debian etch mit dem kernel:
Linux lofile2 2.6.18-5-amd64 #1 SMP Tue Oct 2 20:37:02 UTC 2007 x86_64 GNU/Linux
1,6GHz dual xeon system mit 16gig ram.
Es lief alles monatelang, bis ich auf die Idee kam es sicherer machen zu wollen.
jemand ne idee? danke im vorraus