SzAmO wrote:

>Dnia 14:43:21--18.09.2004 , Corvin napisal(a):
>
>
>>Widać że tabela conntracka się przepełniła, generalnie jak widać warto się
>>zabezpieczać i np. puszczać tylko echo reqest 0 i 8 icmp type a to co
>>przychodzi w ten sposób
>>limitować -m -limit -limitburst (przeciekające wiadro :) ).
>>No i inne zabezpieczenia.....
>>
>>
>
>a pozostale ICMP?? przeciez sa bardzo wazne w transmisji TCP...
>
>SzAmO
>
>
We wszelkich poradach odnośnie firewalli zaleca się puszczanie
(oczywiście odpowiednio limitując) tylko echo-request i echo-reply... a
tak na marginesie czy ruch icmp jest wogóle śledzony przez conntrack?
Poza tym może to nie wina icmp, może połączeń było za dużo - contrack
'pamięta' niektóre rzeczy bardzo długo (do 5dni o ile się nie mylę),
kiedyś sam grzebałem w źródełkack kernela i zmniejszałem u siebie
timeout'y ale nie wiem czy coś w tej kwestii zmieniło się w nowszych
wersjach.
Received on Sat Sep 18 16:20:14 2004