Fehler ip_conntrack / removing entries from conntrack table

H

hburmann

Grünschnabel
Hi !
Ich hab das Problem das nach einem Reconnect der DSL-Verbindung in der connection tracking Tabelle eine UDP-Verbindung stehen bleibt, welche zu einer falschen IP (der vor dem Reconnect) als Absender-IP führt.
Auch wenn es ein nettes Feature ist unidirektionale UDP-Verbindungen über einen IP-Wechsel weiter offen zu halten, stört es in meinem fall, dass die Antworten vom Empfänger nicht mehr ankommen.

MfG,
Holger
 
Von welchen Applikationen reden wir hier?
bittorrent/mule?
Linux Router ?
 
Wir reden hier über Fehler von iptables und dem Modul ip_conntrack :)).

Es ist egal welche Applikation die UDP pakete sendet: erst nach 2-3 Minuten wird die Verbindung aus der Tabelle gelöscht - aber nur wenn kein neues Paket kam in der Zeit X(.

Aber um deine Frage zu beantworten ist es asterisk wo mich das Verhalten besonders stört.

Inzwischen wolte ich den Bug bei Netfilter.org melden und hab da was Ähnliches gefunden:

https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=329

Nur steig ich nicht durch ob der Bug beseitigt ist oder nicht. Außerdem hab ich das Problem bei IPcop.
 
Afaik ist es möglich bei dem modul ip_conntrack das timeout zu ändern, allerdings wird dir das nix bringen ...

Wie wäre es per Script nach einem Disconnect die Firewall zu restarten?

Glücklicherweise hatte ich dieses Problem noch nicht...
 
Ich werd' es mal probieren in der crontab statt
58 4 * * * /sbin/iptables -I FORWARD -s 192.168.123.252 -j DROP >/dev/null
02 5 * * * /sbin/iptables -D FORWARD -s 192.168.123.252 -j DROP >/dev/null

jetzt:

58 4 * * * echo 10 >/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream >/dev/null
02 5 * * * echo 180 >/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream >/dev/null

mal schauen ob es genauso funktioniert.
 

Ähnliche Themen

Rollei Mini Wifi Camcorder

iptables weiterleitung port vom internen Netzwerk zum internet Port

Festplatte friert ein nach suspend/resume

Squid nur zum maskieren der eigenen IP, nicht für Webserver auf port 80

keine Verbindung nach aussen

Zurück
Oben