[PLUTO-security] Problemi con ip_conntrack
Tom aka 'Dido'
dido at sicurweb.com
Tue Jun 17 23:20:38 CEST 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Saturday 14 June 2003 13:15, Beppe wrote:
> Mi pare che una volta se ne fosse parlato, in lista, ad ogni modo penso che
> tu abbia raggiunto il limite delle connesioni gestibili tramite il modulo
> in questione.
>
> La cosa dovrebbe essere gestita attraverso `ip_conntrack_max', che sta
> sotto /proc/sys/net/ipv4.
> Forse agendo direttamente su di esso puoi aumentare il numero delle
> connesioni, ma è solo un idea.
Comfermo. Puoi verificare questo valore proprio con
more /proc/sys/net/ipv4/ip_conntrack_max
Modificando tale file puoi anche variare "live" la dimensione della connection
table (o state table), ma se lo aumenti troppo rischi di aprirti a eventuali
attacchi DoS....
Mediamente tenerlo pari a 32760 è un buon compromesso, ma dipende (ovviamente)
dall'uso specifico che fai della macchina. Il mio consiglio è tenerlo
monitorato, e se è sempre al limite, allora aumenta il valore, altrimenti no.
.02
- --
- -------------------------------------
Dido
PGP Public Key
http://www.didoware.it/dido.asc
http://keyserver.linux.it/
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE+73gZQe/GGXXd6zQRAhmwAJ4qcXHVCOwAaGDzNrep4rYPyutDewCglIIV
PS7cgic9QT+Ej8xIUUA6OjE=
=y4as
-----END PGP SIGNATURE-----
More information about the pluto-security
mailing list