[redhat-list-de] iptables ip_conntrack
Michael Schwendt
ms-nospam-0306 at arcor.de
Tue Mar 16 18:49:57 UTC 2004
On Tue, 16 Mar 2004 19:09:32 +0100, Matthias Borrack wrote:
> > Ja, und zwar per REJECT oder DROP Regel an passender Stelle. Andernfalls
> > warten zunehmend Verbindungen auf ihr Time-Out. Den Wert in
> > /proc/sys/net/ipv4/netfilter/ip_conntrack_max hochzusetzen bringt Dir in
> > dem Fall auch wenig, höchstens bei sehr viel Speicher.
> hört sich gut an, nur was sind die passenden Stellen?
Im Normalfall lehnst Du alles ab und erlaubst nur, was auch angenommen und
verarbeitet wird. Und vor allem, was anhand von Quell- und Zieladresse
auch Sinn macht. Was im Detail bei Dir hängenbleibt, weiß ich ja nicht.
> Knapp 5 Tage für ein TimeOut ist einfach zu hoch.
Es sind bei Dir nicht die üblichen zwei Minuten für TCP/IP?
--
More information about the redhat-list-de
mailing list