> [EMAIL PROTECTED] wrote: > >>Имам Linux на който имам маскиране на адреси. >> >>От извесно време наблюдавам следното: >> >>cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l >>2532 >> >>cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l >>3252 >> >>какви са тези връзки който носят този флаг UNREPLIED >> >>t.e. редове от рода: >> >>udp 17 17 src=192.5.41.41 dst=192.168.4.253 sport=123 dport=123 >>[UNREPLIED] src=192.168.4.253 dst=192.5.41.41 sport=123 >> dport=123 use=1 >>tcp 6 25 SYN_SENT src=192.168.50.5 dst=208.38.61.228 sport=59440 >>dport=25 [UNREPLIED] src=208.38.61.228 dst=212.36.20.1 >>50 sport=25 dport=59440 use=1 >> >> >> >> > > Това с UDP записа ме съмнява да е проблем (по-скоро имаш неизгладен NAT > относно NTP). Но записа за TCP по-долу би ме накарал да проверя първо > излъчвателя и второ TTL-а на пакетите. Не искам да се обзалагам, но това > е пакет с голям TTL. Случайно да имаш при себе си TTL филтър, който да > следва някъде политика DROP? > > Прегледай пакетите на източника. Виж дали той не си играе нещо с TTL > параметъра. > > Също така, виж дали не използваш филтър за TCP сесии, който вместо да > следва политика RESET, следва политика DROP. Честа грешка е да се > направи NAT рутер и в/у него да се наблъскат един куп DROP политики по > отношение на TCP сесии. При едно сканиране от страна на хост зад NAT към > хост, който е някъде в Интернет, се получават точно едни такива хубави > неща. > > Няма да е зле да кажеш нещо за топологията. Особено за тази нейна част > м/у рутера и 192.168.50.5. Иначе се сещам за още 2 причини, но наистина > трябва да се покаже топологията.. > > Поздрави > Весо > >
Топологията е доста стандартна: Няколко linux router-a стоят зад един Linux gateway на който се извършва маскарад. от рода: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d ! 192.168.0.0/16 -o eth0 -j SNAT --to REAL_IP Проблема е започна да става поради следната причина: 1. Медията която използвам е wireless, и тя при голям брой едновремени връзки (5000-1000) почва да се разпада !!! От извесно време наблюдавам че някой клиенти имат огромен брой връзки /proc/net/ip_conntrack Например един клиент (1 PC) държи по 1000-2000 връзки който се държат много време. За да оправя това се налага да рестартирам Linux gateway (което като решение си е доста просто и просташко). Вероятно има при този клиент и вируси (познайте на какво работи ...) Някой от тях ги оправиш като ми инсталираш Linux с транспаретно прокси при тях, и така многото конкуретни връзки от тях драстично намаляха, т.е. те си останаха при техния сървер. Иначе не мога да конкретизирам точно какъв е вируса, защото трафика не ми е обърнат, а създават много връзки към един или няколко dest-port 80 (може би Troyan.StartPage) Ето и както прави: tcp 6 162320 ESTABLISHED src=192.168.9.8 dst=213.16.55.67 sport=1402 dport=80 src=212.36.20.145 dst=192.168.9.8 sport=3 128 dport=1402 [ASSURED] use=1 tcp 6 429266 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=2807 dport=80 src=212.36.20.145 dst=192.168.9.8 sport= 3128 dport=2807 [ASSURED] use=1 tcp 6 338364 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=2386 dport=80 src=212.36.20.145 dst=192.168.9.8 sport= 3128 dport=2386 [ASSURED] use=1 tcp 6 271362 ESTABLISHED src=192.168.9.8 dst=193.24.240.21 sport=1306 dport=80 src=212.36.20.145 dst=192.168.9.8 sport= 3128 dport=1306 [ASSURED] use=1 tcp 6 248043 ESTABLISHED src=212.36.20.145 dst=192.168.9.8 sport=3128 dport=3643 [UNREPLIED] src=192.168.9.8 dst=212.36 .20.145 sport=3643 dport=3128 use=1 От тука се вижда че времето на остановяване е доста голямо Направиш и следното: echo 900 > /proc/sys/net/ipv4/tcp_keepalive_time Но въпреки това даже и когато го изключа този клиент то връзките остават да висят продължително време. А не мога при всеки краен клиент да инсталирам Linux с транспаретно прокси и маскарад. ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
