alex_001 Опубликовано 7 октября, 2010 (изменено) · Жалоба Посмотрел на nat сервере conntrack - довольно много валится в invalid и много icmp_error. С частью invalid'ов все понятно - внешние коннекты , неподдерживаемые протоколы (нету helper'a) , но есть и такие , которые непонятно с какой стати туда валятся , типа: Oct 7 23:11:15 nata kernel: [11786.025193] IN=eth0 OUT=eth0 SRC=122.174.90.44 DST=78.153.133.36 LEN=40 TOS=0x00 PREC=0x00 TTL=32 ID=34207 PROTO=TCP SPT=28430 DPT=7199 WINDOW=0 RES=0x00 ACK RST URGP=0 Oct 7 23:11:15 nata kernel: [11786.025381] IN=eth0 OUT=eth0 SRC=122.174.90.44 DST=78.153.133.36 LEN=40 TOS=0x00 PREC=0x00 TTL=30 ID=34207 PROTO=TCP SPT=28430 DPT=7199 WINDOW=0 RES=0x00 ACK RST URGP=0 Oct 7 23:11:15 nata kernel: [11786.025568] IN=eth0 OUT=eth0 SRC=122.174.90.44 DST=78.153.133.36 LEN=40 TOS=0x00 PREC=0x00 TTL=28 ID=34207 PROTO=TCP SPT=28430 DPT=7199 WINDOW=0 RES=0x00 ACK RST URGP=0 Oct 7 23:11:15 nata kernel: [11786.025786] IN=eth0 OUT=eth0 SRC=122.174.90.44 DST=78.153.133.36 LEN=40 TOS=0x00 PREC=0x00 TTL=26 ID=34207 PROTO=TCP SPT=28430 DPT=7199 WINDOW=0 RES=0x00 ACK RST URGP=0 Вроде как вполне себе RST,ACK - a invalid однако. Может кто у себя посмотреть сделать conntrack -S , хотелось бы сравнить результаты .. Ядро там 2.6.35. conntrack -S entries 228678 searched 430913493 found 1256868705 new 19849550 invalid 13644850 ignore 4983504 delete 18459356 delete_list 17360549 insert 19180639 insert_failed 4573 drop 0 early_drop 0 icmp_error 3665556 expect_new 123 expect_create 50 expect_delete 127 search_restart 0 [26940.040434] При включенном sysctl net.ipv4.netfilter.ip_conntrack_log_invalid=1 в лог валится [26940.040434] nf_ct_icmp: bad HW ICMP checksum IN= OUT= . Не совсем понятно откуда им в таком количестве браться... Изменено 7 октября, 2010 пользователем alex_001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
