Dnia wtorek, 7 września 2004 22:02, Cezary Siwek napisał: > >Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela > >na google rozwiązania nie znalazłem (może żlee pytałem) > > pewnie tak: popatrz na wyniki sysctl -a a potem odpowiednio to uzyj Dzięki ale nie widzę tu zmiennych odpowiedzialnych za czas pamiętania połączeń Więc jedyną możliwością o jakiej wiem jest zmiana w pliku /usr/src/linux/net/ipv4/netfilter/ip_conntrack_proto_tcp.c Jeśli można załatwić to za pomocą sysctl to proszę o radę które zmienne są za to odpowiedzialne? (jądro 2.4) > >Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np. > >10 > >tys połączeń co zaowocuje odmową serwera dostępu do sieci innym > >użytkownikom ? > > connlimit
> >Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem. > > to zalezy od łącza,ruchu na nim i innych spraw. U mnie 32768 bylo za mało. może tak ale na stronie netfilter zalecaną ilością połączeń jest 8192 dla 128M pamięci serwera zresztą wyczytałem że jedno połączenie to 350 bajtów z prostej kalkulacji wynika że przy zalecanej przez ciebie ilości wielkość bufora wyniesie 10 MB a mój serwer oprócz natu dla ok 30 klientów chodzi jeszcze apache z php poczta baza danych mysql squid i ftp, samba pełniąca rolę kontrolera domeny i kilka kont shelowych więc trochę pamięci powinno mi pozostać Dostęp do serwera mam zdalny więc wolałbym uniknąć kompilacji kernela a jak na razie to nie widzę sposobu aby tego uniknąć. Pamiętanie połączeń przez 5 dni jest dosyć na wyrost bo żaden z klientów nie chodzi dłużej niż kilka godzin więc te 7168 to wcale nie było by za mało gdyby wszystkie połączenia były zamykane lecz nie zawsze tak jest (myślę że winę ponosi tu kazza i ine programy tego typu). Pozdrawiam Adam Rogalski
