[redhat-list-de] iptables ip_conntrack
Matthias Borrack
mailingliste at sinath.de
Tue Mar 16 18:09:32 UTC 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Michael Schwendt wrote:
> Ja, und zwar per REJECT oder DROP Regel an passender Stelle. Andernfalls
> warten zunehmend Verbindungen auf ihr Time-Out. Den Wert in
> /proc/sys/net/ipv4/netfilter/ip_conntrack_max hochzusetzen bringt Dir in
> dem Fall auch wenig, höchstens bei sehr viel Speicher.
>
Hi,
hört sich gut an, nur was sind die passenden Stellen? Knapp 5 Tage für
ein TimeOut ist einfach zu hoch. Meine erste Idee war ja, alle NEW für
definierte Portbereiche zu blocken, wenn eine bestimmte Grenze erreicht
ist, aber im zweifelsfall werden die 5 Tage geblockt, da ist ein reboot
alle 5 Tage effektiver.
cu/2 iae
Matthias
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQFAV0LcWTMfCbz57ScRAr9CAKCIFU5cXUOrjen4zqBNdofzHsHIvgCgirYs
QP1FyyQ3AdFYBQzMaIF6cd0=
=QV15
-----END PGP SIGNATURE-----
More information about the redhat-list-de
mailing list