[GTER] (no subject)

Rubens Kuhl Jr. rubensk at gmail.com
Wed Oct 4 11:06:14 -03 2006


> Ultimamente, estou enfrentando um problema com o meu servidor de firewall.
> Depois de vários dias online, o servidor começa a apresentar problemas com
> lentidão na rede. Eu verifiquei no log messages e está apresentando esse
> tipo de mensagem:
>
> kernel: ip_conntrack table full dropping packet
>
> Já pesquisei sobre o problema. Achei uma solução e porém não resolveu ainda.
> A solução, a qual encontrei, é de aumentar o número de conexões no módulo
> ip_connmark.
> Quais outros procedimentos poderia estar tomando ?

1) Desligar o conntrack e passar a tratar os pacotes de forma stateless;
2) Usar o patch que cria a tabela "raw" onde você pode processar
pacotes antes que eles entrem no conntrack:
http://www.netfilter.org/projects/patch-o-matic/pom-submitted.html#pom-submitted-raw

A tabela raw é um ótimo lugar para se colocar regras de deny/drop. Se
os tráfegos permitidos ainda estiverem gerando um grande número de
conexões, o mesmo patch que cria a tabela "raw" cria o target
"NOTRACK", que pode excluir seletivamente do conntrack tipos de
tráfego para os quais você não queira tratamento stateful.

Eu pessoalmente costumo optar por colocar a tabela "raw" mas extender
o tamanho do conntrack o quanto for necessário para lidar tanto com o
tráfego normal quanto com bursts, e se algum tráfego anômalo (leia-se
ataque DoS) estoura o conntrack, filtrá-lo ainda na tabela "raw".


Rubens



More information about the gter mailing list