पर लागू नहीं किया गया है, मुझे इसके साथ जुड़े हजारों डिवाइसों के साथ एक नेट सेटअप मिला है। गेटवे के पास eth0 द्वारा प्रदान किया गया इंटरनेट है और लैन पक्ष के डिवाइस गेटवे पर eth1 से कनेक्ट होते हैं।ip_conntrack_tcp_timeout_established पूरे सबनेट
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
eth1 इस प्रकार कॉन्फ़िगर किया गया है:
ip: 192.168.0.1
subnet: 255.255.0.0
ग्राहकों 192.168.255.254 के माध्यम से ips 192.168.0.2 आवंटित कर रहे हैं
मैं iptables के साथ निम्नलिखित सेटअप है।
/etc/sysctl.conf में मैं के लिए ip_conntrack_tcp_timeout_established
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1200
निम्नलिखित सेटअप है।
ऐसा लगता है कि यह अच्छी तरह से काम करता है और 10000 से अधिक क्लाइंट डिवाइसों के साथ सेटअप का परीक्षण करता है।
हालांकि, जो मुद्दा मैं देख रहा हूं वह यह है कि टीसीपी स्थापित 1200 के टाइमआउट को केवल 192.168.0.2 के आईपी रेंज में 1 9 2.168.0.255 के माध्यम से लागू किया जा रहा है। 192.168.1.x में 1 9 2.168.1x के माध्यम से ips के साथ सभी डिवाइस अभी भी 5 दिन डिफ़ॉल्ट टाइमआउट का उपयोग कर रहे हैं।
यह/proc/net/ip_conntrack तालिका में बहुत से "स्थापित" कनेक्शन छोड़ रहा है और अंत में यह भर जाता है, भले ही उन्हें 20 मिनट के भीतर समय समाप्त हो, भले ही वे दिखा रहे हों कि वे 5 दिनों में टाइमआउट करेंगे ।
जाहिर है, मुझे कहीं एक सेटिंग याद आ रही है या कुछ गलत तरीके से कॉन्फ़िगर किया गया है।
कोई सुझाव?
धन्यवाद
+1 एक अच्छे प्रश्न के लिए, लेकिन शायद सर्वरफॉल्ट.com –
पर लोगों द्वारा बेहतर ढंग से संबोधित किया गया है अगर किसी और के पास एक समान समस्या है। मैंने मूल रूप से conntrack_tools इंस्टॉल किया और तालिका को रीसेट करने के लिए एक सूडो/usr/sbin/conntrack -F चलाया और उसके बाद सभी कनेक्शन 5 दिन के टाइमआउट के बजाय 1200s टाइमआउट का उपयोग शुरू करना प्रतीत होता था। –