Also sprach "Felix M. Palmen" <[EMAIL PROTECTED]> (Sun, 4 Dec 2005 10:22:34 +0100): > * Micha Beyer <[EMAIL PROTECTED]> [20051203 13:25]: > > Welcher Wert steht denn bei Dir in > > > > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established? > > > > Bei mir stand da was von 5 Tagen, in Sekunden natürlich. Ich habe dann die > > Zeit auf 10 Minuten runtergesetzt. > > Hmmm gehe ich richtig in der Annahme, dass das die Zeit ist, nach der > eine Verbindung aus der conntrack-table gelöscht wird wenn der Router > keine Pakete mehr gesehen hat, /obwohl/ sie im Zustand ESTABLISHED ist?
Eine Regel wird "established" und bleibt dann fuer diese Zeit in diesem Zustand aufrechterhalten, /es sein denn/ die Verbindung wird zurueckgesetzt. > Was ist dann bei UPD-Verbindungen, die ja keinen dedizierten > Abbau-Mechanismus haben? Blockieren die alle für mindestens 5 Tage > einen Tabellen-Eintrag? ip_conntrack_udp_timeout Wie schon erkannt, ist udp "stateless" (keine "established" Verbindung). > Kann mir jemand sagen, was die Motivation für einen derart hohen > Default-Wert ist? Find ich ganz praktisch: ich hole mir ein Prorgamm vom schnellen Desktop auf den alten/langsamen Libretto, suspende ihn, und wenn ich ihn einen Tag spaeter wieder aufwecke laesst sich (meist) weiterarbeiten. Brauch ich dieses "feature" nicht, kann man/frau ja das timeout runtersetzen - und im Falle von andauernten nmap's durchs Netz, kann ich einen kleineren Wert nur empfehlen, da sonst der table ordentlich anwaechst. sl ritch
