Re: [ml] latenza update iptables

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2007 ml@sikurezza.org
Soggetto: Re: [ml] latenza update iptables
Mittente: mp
Data: Tue, 13 Feb 2007 19:49:04 +0100 (CET)

Penso che hai proprio ragione. Il problema deve risiedere nelle connessioni ESTABLISHED Oggi ho eseguito dei test con -j NOTRACK ma il problema è che con iptables 1.3.5 esce un errore strano, che, controllando è stato fixato con la versione 1.3.6 Ho installato la 1.3.6 ma ora esce un altro problema con la scrittura della regola, purtroppo non ho l'output adesso e non posso incollarlo qua :( La cosa sorprendente è che con le versioni precedenti (1.3.3 e 1.2.qualcosa) il comando funziona dignitosamente! Domani proverò con sysctl.

Grazie ancora,
Marco.


On 12/feb/07, at 14:41, nextime@xxxxxxxxx wrote:

Per?, c'? un problema! Testando il sistema, risulta che i pacchetti
continuano ad entrare secondo le vecchie regole per un certo
periodo di tempo! (diversi secondi).
Che io sappia non c'e' ritardo, se non quello "tecnico" necessario di qualche millisecondo. Forse dico un'emerita stronzata, ma non e' che tu stia parlando di regole che coinvolgano in qualche modo il conntracking e di conseguenza il tuo ritardo sia provocato dal timeout dello stesso?

Se ci ho azzeccato (hai dato un po' poche informazioni), puoi regolare direttamente da sysctl i timeout ( sysctl -a | grep netfilter e vedi che ci sono un po' di cosette in proposito ), oppure puoi disattivarlo del tutto o solo in maniera selettiva con -j NOTRACK ( non ricordo se in raw o mangle ).

Se invece non stai parlando di regole che coinvolgano il conntracking e io non ho capito una cippa di nulla, mea culpa e buona fortuna!
--
Franco (nextime) Lanza
Busto Arsizio - Italy
SIP://casa@xxxxxxxxxxxxxx
NO TCPA: http://www.no1984.org you can download my public key at: http://danex.nexlab.it/nextime.asc || Key Servers Key ID = D6132D50 Key fingerprint = 66ED 5211 9D59 DA53 1DF7 4189 DFED F580 D613 2D50 ----------------------------------- echo 16i[q]sa[ln0=aln100%Pln100/snlbx] sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E45205 9415020544F4E4E4143205345544147204C4C4942snlbxq | dc -----------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- [ml] latenza update iptables, list
- Re: [ml] latenza update iptables, nextime

Data:
- precedente: Re: [ml] Mi hanno bucato il server, NN_il_Confusionario
- successivo: Re: [ml] Mail dictionary attack, HF
- indice

Argomento:
- precedente: Re: [ml] latenza update iptables, nextime
- successivo: Re: [ml] latenza update iptables, Angelo Conforti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005