* martedì 08 maggio 2007, alle 10:27, Andrea Bondi scrive:
> nf_conntrack: table full, dropping packet.
>
> Il log dmesg mostra, regolarmente, un gran numero di indicazioni come
> questa:
>
> Shorewall:rfc1918:DROP:IN=eth1 OUT=
> MAC=00:0e:0c:71:fa:43:00:0a:8a:ac:6a:80:08:00 SRC=10.0.0.165
> DST=213.174.166.137 LEN=573 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=UDP
> SPT=53 DPT=32771 LEN=553
>
> Ho cercato indicazioni via Internet ed uno dei primi consigli è stato di
> cercare se ci fossero computer impazziti all'interno della rete. Questo
> però è impossibile, il problema si è verificato questa notte quando
> nulla era collegato dall'interno.
>
> L'altra indicazione era un possibile attacco DOS (anche se non vedo
> perchè).
Oddio non e` che serva un vero motivo per un dos. Cmq.
Installa conntrack, e dai un occhio, cosi` puoi farti un idea piu`
precisa.
Quando c'era ancora ip_conntrack, c'era a volte la possibilita` di
beccare un limite di esaurimento delle tabelle, specie in presenza di
muli e animali da soma vari.
Si aggirava andando ad ampliare il valore in /proc. Non so come venga
gestita ora questa cosa e se e` ancora attuale. Attenzione poi alla
versione del kernel, visto che nf_conntrack e` relativamente recente.
Non vorrei che banalmente avessi una early version (hum non so a
memoria, 2.6.15?) di nf_conntrack che supportasse magari solo ipv4 (e
quindi scarrella su ipv6).
Quest'ultimo ovviamente e` uno sparo nel buio, ipotizzando di tutto di
piu`.
Ciao.
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
kill -9 them all. Let init sort them out.
|