Fehler ip_conntrack / removing entries from conntrack table

Dieses Thema im Forum "Firewalls" wurde erstellt von hburmann, 25.07.2005.

  1. #1 hburmann, 25.07.2005
    hburmann

    hburmann Grünschnabel

    Dabei seit:
    25.07.2005
    Beiträge:
    4
    Zustimmungen:
    0
    Hi !
    Ich hab das Problem das nach einem Reconnect der DSL-Verbindung in der connection tracking Tabelle eine UDP-Verbindung stehen bleibt, welche zu einer falschen IP (der vor dem Reconnect) als Absender-IP führt.
    Auch wenn es ein nettes Feature ist unidirektionale UDP-Verbindungen über einen IP-Wechsel weiter offen zu halten, stört es in meinem fall, dass die Antworten vom Empfänger nicht mehr ankommen.

    MfG,
    Holger
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Von welchen Applikationen reden wir hier?
    bittorrent/mule?
    Linux Router ?
     
  4. #3 hburmann, 26.07.2005
    hburmann

    hburmann Grünschnabel

    Dabei seit:
    25.07.2005
    Beiträge:
    4
    Zustimmungen:
    0
    Wir reden hier über Fehler von iptables und dem Modul ip_conntrack :)).

    Es ist egal welche Applikation die UDP pakete sendet: erst nach 2-3 Minuten wird die Verbindung aus der Tabelle gelöscht - aber nur wenn kein neues Paket kam in der Zeit X(.

    Aber um deine Frage zu beantworten ist es asterisk wo mich das Verhalten besonders stört.

    Inzwischen wolte ich den Bug bei Netfilter.org melden und hab da was Ähnliches gefunden:

    https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=329

    Nur steig ich nicht durch ob der Bug beseitigt ist oder nicht. Außerdem hab ich das Problem bei IPcop.
     
  5. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Afaik ist es möglich bei dem modul ip_conntrack das timeout zu ändern, allerdings wird dir das nix bringen ...

    Wie wäre es per Script nach einem Disconnect die Firewall zu restarten?

    Glücklicherweise hatte ich dieses Problem noch nicht...
     
  6. #5 hburmann, 27.07.2005
    hburmann

    hburmann Grünschnabel

    Dabei seit:
    25.07.2005
    Beiträge:
    4
    Zustimmungen:
    0
    Ich werd' es mal probieren in der crontab statt
    58 4 * * * /sbin/iptables -I FORWARD -s 192.168.123.252 -j DROP >/dev/null
    02 5 * * * /sbin/iptables -D FORWARD -s 192.168.123.252 -j DROP >/dev/null

    jetzt:

    58 4 * * * echo 10 >/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream >/dev/null
    02 5 * * * echo 180 >/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream >/dev/null

    mal schauen ob es genauso funktioniert.
     
Thema:

Fehler ip_conntrack / removing entries from conntrack table

Die Seite wird geladen...

Fehler ip_conntrack / removing entries from conntrack table - Ähnliche Themen

  1. Terminal Fehlermeldung

    Terminal Fehlermeldung: Hola, mir ist aufgefallen das ständig ein Fehler erscheint sobald ich einen Terminal öffne. Hat zwar keine Auswirkung auf die Arbeit damit sieht...
  2. LibreOffice 5.1.1 korrigiert Fehler

    LibreOffice 5.1.1 korrigiert Fehler: Das LibreOffice-Projekt hat die Verfügbarkeit der Version 5.1.1 der freien Office-Suite bekannt gegeben. In diesem planmäßigen Update werden...
  3. Fehler in glibc gefährdet zahlreiche Systeme

    Fehler in glibc gefährdet zahlreiche Systeme: Sicherheitsforscher haben eine Sicherheitslücke in der glibc-Bibliothek entdeckt, die sich von externen Angreifern über das Netzwerk ausnutzen...
  4. LibreOffice veranstaltet Fehlerjagd

    LibreOffice veranstaltet Fehlerjagd: Das LibreOffice-Projekt hat angekündigt, vom 15. bis 17. Januar die mittlerweile dritte öffentliche »Bug Hunting Session« für Version 5.1 der...
  5. Linux.Encoder: Das Laster der fehlerhaften Kryptografie

    Linux.Encoder: Das Laster der fehlerhaften Kryptografie: Der mittlerweile in der dritten Generation nun vorliegende Ransomware »Linux.Encoder« kann immer noch kaum Schrecken unter Linux verbreiten -...