El 23/08/16 a las 21:05, Arian Molina Aguilera escribió: > El 23/08/16 a las 18:56, Hugo Florentino escribió: >> On Tue, 23 Aug 2016 08:21:51 -0400, Arian Molina Aguilera wrote: >>> hugo acabo de hacer la prueba que sugeriste, y efectivamente si se cargo >>> el parametro establecido en sysctl.conf aquí la prueba. >>> >>> Antes de reiniciar >>> root@repos:~# sysctl -a | grep tcp_challenge_ack_limit >>> net.ipv4.tcp_challenge_ack_limit = 100 >>> >>> Después de reiniciar. >>> root@repos:~# sysctl -a | grep tcp_challenge_ack_limit >>> net.ipv4.tcp_challenge_ack_limit = 10000 >>> [...] >> >> Muchas gracias. Interesante, parece que el problema no afecta todos los >> valores como suponía, por ejemplo a mi concretamente este me está dando >> problemas: >> >> net.netfilter.nf_conntrack_tcp_timeout_established = 28800 >> >> El valor por defecto es de 432000 (5 días, o 120 horas), aunque lo >> reduzca en los archivos de configuración, cuando reinicio y ejecuto el >> comando $(iptstate -Lt), las conexiones establecidas siguen con el valor >> antiguo. >> >> ¿Podrías hacer la prueba una vez más, porfa? Prometo que no fastidiaré >> más con esto. >> >> Saludos, Hugo >> >> ______________________________________________________________________ >> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. >> Gutl-l@jovenclub.cu >> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > Me parece que no estas poniendo bien la variable o no existe, busque en > mi sistema y por defecto no la tengo establecida con ese valón que dices. > me parece que en debian 8 para contar con el modulo de nf para conntrack hay que instalar dicho paquete a parte ya que por defecto no viene instalado en el sistema:
root@repos:~# aptitude show conntrack Package: conntrack New: yes State: not installed Version: 1:1.4.2-2+deb8u1 Priority: optional Section: net Maintainer: Alexander Wirt <formo...@debian.org> Architecture: amd64 Uncompressed Size: 77.8 k Depends: libc6 (>= 2.14), libmnl0 (>= 1.0.3-4~), libnetfilter-conntrack3, libnfnetlink0 Description: Program to modify the conntrack tables conntrack is a userspace command line program targeted at system administrators. It enables them to view and manage the in-kernel connection tracking state table. Homepage: http://conntrack-tools.netfilter.org/ Tags: admin::monitoring, implemented-in::c, interface::commandline, network::firewall, protocol::ip, role::program, security::firewall, use::monitor root@repos:~# lsmod | grep nf binfmt_misc 16949 1 nfsd 267128 2 nfsv3 37551 1 nfs_acl 12511 2 nfsd,nfsv3 auth_rpcgss 51211 2 nfsd,rpcsec_gss_krb5 nfsv4 410783 0 dns_resolver 12641 1 nfsv4 nfs 188136 3 nfsv3,nfsv4 lockd 83389 3 nfs,nfsd,nfsv3 sunrpc 237402 22 nfs,nfsd,rpcsec_gss_krb5,auth_rpcgss,lockd,nfsv3,nfsv4,nfs_acl fscache 45542 2 nfs,nfsv4 Luego de instalar el paquete conntrack root@repos:~# modprobe nf_conntrack root@repos:~# lsmod | grep nf nf_conntrack 87424 0 binfmt_misc 16949 1 nfsd 267128 2 nfsv3 37551 1 Luego ya pude encontrar las variables para netfilter conntrack, pero ninguna es la que mencionas. net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_buckets = 8192 net.netfilter.nf_conntrack_checksum = 1 net.netfilter.nf_conntrack_count = 0 net.netfilter.nf_conntrack_events = 1 net.netfilter.nf_conntrack_events_retry_timeout = 15 net.netfilter.nf_conntrack_expect_max = 124 net.netfilter.nf_conntrack_generic_timeout = 600 net.netfilter.nf_conntrack_helper = 1 net.netfilter.nf_conntrack_log_invalid = 0 net.netfilter.nf_conntrack_max = 32008 net.netfilter.nf_conntrack_timestamp = 0 Luego cargue otro modulo el nf_conntrack_ipv4 y aparecieron las siguientes. net.netfilter.nf_conntrack_tcp_be_liberal = 0 net.netfilter.nf_conntrack_tcp_loose = 1 net.netfilter.nf_conntrack_tcp_max_retrans = 3 net.netfilter.nf_conntrack_tcp_timeout_close = 10 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_established = 432000 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300 net.netfilter.nf_conntrack_timestamp = 0 net.netfilter.nf_conntrack_udp_timeout = 30 net.netfilter.nf_conntrack_udp_timeout_stream = 180 y fue que apareció, así que para setear dicha variable, hay que cargar el modulo nf_conntrack_ipv4 para que cargue con el sistema. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
