Comment flusher ip_conntrack

OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février
2005, vers 23:48, brunoml <brunoml@free.fr> disait:

Ma table ip_conntrack est staturée et je voudrais la vider plutôt que
d'augmenter sa taille.
Comment puis-je faire ?

Tu peux décharger le module ip_conntrack. Cela nécessite de mettre
down toutes les interfaces.
--
BOFH excuse #400:
We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 4 Feb 2005 at 8:45, Vincent Bernat wrote:

OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 fév rier
2005, vers 23:48, brunoml <brunoml@free.fr> disait:

> Ma table ip_conntrack est staturée et je voudrais la vider plutôt que
> d'augmenter sa taille.
> Comment puis-je faire ?

Tu peux décharger le module ip_conntrack. Cela nécessite de mett re
down toutes les interfaces.

Je me connecte à ce serveur par ssh (pas d'écran).
Je voulais donc éviter de le redémarrer et je ne peux non plus decendr e ses
interfaces réseaux.
Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...)

--
BOFH excuse #400:
We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To: "

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debia n.org

--
Bruno

* brunoml <bruno2.boudinski@worldonline.fr> [2005-02-04 14:21] :

On 4 Feb 2005 at 8:45, Vincent Bernat wrote:
> OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février
> 2005, vers 23:48, brunoml <brunoml@free.fr> disait:
>
> > Ma table ip_conntrack est staturée et je voudrais la vider plutôt que
> > d'augmenter sa taille.
> > Comment puis-je faire ?
>
> Tu peux décharger le module ip_conntrack. Cela nécessite de mettre
> down toutes les interfaces.

Je me connecte à ce serveur par ssh (pas d'écran).
Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses
interfaces réseaux.
Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...)

Normalement, cette commande :

ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a

devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas
certain à 100 % du résultat des commandes, tu peux remplacer le dernier
"&&" par un ";", ainsi les interfaces réseau seront de toute façon
redémarrées.


Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric Bothamy wrote:

* brunoml <bruno2.boudinski@worldonline.fr> [2005-02-04 14:21] :

On 4 Feb 2005 at 8:45, Vincent Bernat wrote:

OoO La nuit ayant déjà recouvert d'encre ce jour du jeudi 03 février
2005, vers 23:48, brunoml <brunoml@free.fr> disait:

Ma table ip_conntrack est staturée et je voudrais la vider plutôt que
d'augmenter sa taille.
Comment puis-je faire ?

Tu peux décharger le module ip_conntrack. Cela nécessite de mettre
down toutes les interfaces.

Je me connecte à ce serveur par ssh (pas d'écran).
Je voulais donc éviter de le redémarrer et je ne peux non plus decendre ses
interfaces réseaux.
Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...)

Normalement, cette commande :

ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a

devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas
certain à 100 % du résultat des commandes, tu peux remplacer le dernier
"&&" par un ";", ainsi les interfaces réseau seront de toute façon
redémarrées.

Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas
d'autre solution....
Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant).
Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce
serveur.
Pour information, ma table ip_conntrack s'est subitment remplie entre
dimanche soir et lundi matin : mes logs indiquent un nombre important de
tentive de connexion sur mon serveur par ssh (je vois plein de login
avec des users fantaisistes...)



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

* brunoml <brunoml@free.fr> [2005-02-04 22:55] :

Frédéric Bothamy wrote:
>* brunoml <bruno2.boudinski@worldonline.fr> [2005-02-04 14:21] :

[...]

>>Je me connecte à ce serveur par ssh (pas d'écran).
>>Je voulais donc éviter de le redémarrer et je ne peux non plus decendre
>>ses
>>interfaces réseaux.
>>Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...)
>
>
>Normalement, cette commande :
>
>ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a
>
>devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas
>certain à 100 % du résultat des commandes, tu peux remplacer le dernier
>"&&" par un ";", ainsi les interfaces réseau seront de toute façon
>redémarrées.

Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas
d'autre solution....
Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant).
Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce
serveur.

Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la
machine, la commande indiquée ci-dessous devrait fonctionner à distance
et sans couper la connexion ssh. L'écran n'est nécessaire que s'il y a
un problème dans l'exécution des commandes (mais, c'est pareil si tu as
un problème lors du redémarrage).

Pour information, ma table ip_conntrack s'est subitment remplie entre
dimanche soir et lundi matin : mes logs indiquent un nombre important de
tentive de connexion sur mon serveur par ssh (je vois plein de login
avec des users fantaisistes...)

Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les
bloquer avant l'ouverture de l'authentification SSH...


Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Frédéric Bothamy wrote:

* brunoml <brunoml@free.fr> [2005-02-04 22:55] :

Frédéric Bothamy wrote:

* brunoml <bruno2.boudinski@worldonline.fr> [2005-02-04 14:21] :

[...]

Je me connecte à ce serveur par ssh (pas d'écran).
Je voulais donc éviter de le redémarrer et je ne peux non plus decendre
ses
interfaces réseaux.
Pas d'autres solutions ? (sinon, tant pis, de redémarrerai...)

Normalement, cette commande :

ifdown -a && rmmod ip_conntrack && modprobe ip_conntrack && ifup -a

devrait fonctionner (avec peut-être un nohup avant). Si tu n'es pas
certain à 100 % du résultat des commandes, tu peux remplacer le dernier
"&&" par un ";", ainsi les interfaces réseau seront de toute façon
redémarrées.

Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas
d'autre solution....
Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant).
Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce
serveur.

Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la
machine, la commande indiquée ci-dessous devrait fonctionner à distance
et sans couper la connexion ssh.

Ah bon, je peux démonter les interfaces réseaux sans être déconnecté ???

L'écran n'est nécessaire que s'il y a

un problème dans l'exécution des commandes (mais, c'est pareil si tu as
un problème lors du redémarrage).

Je ne comprend pas bien...

Pour information, ma table ip_conntrack s'est subitment remplie entre
dimanche soir et lundi matin : mes logs indiquent un nombre important de
tentive de connexion sur mon serveur par ssh (je vois plein de login
avec des users fantaisistes...)

Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les
bloquer avant l'ouverture de l'authentification SSH...

Un motif ? Non, c'est 4 ou 5 adresses IP différentes dans ip_conntrack.
Par contre, dans /var/log/auth.log il y a eu plein de tentative de
connexion avec des noms d'utilisateurs n'existants pas sur mon système
(ils semblent tirés d'un annuaires de noms...). Mais les adresses IP
sont différentes de celles de ip_conntrack... je ne comprend pas tout.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

* brunoml <brunoml@free.fr> [2005-02-06 02:09] :

Frédéric Bothamy wrote:
>* brunoml <brunoml@free.fr> [2005-02-04 22:55] :
>
>>Frédéric Bothamy wrote:

[...]

>>Zut... d'ai déjà rebooté mon serveur ! je pensais qu'il n'y avait pas
>>d'autre solution....
>>Bon, après ma table était bien vide (3 ligne au lieu de 7900 avant).
>>Mais, de toute façon, ta solution m'imposait de mettre un écran sur ce
>>serveur.
>
>
>Euh, non, pour peu que tu ait une session ssh déjà ouverte sur la
>machine, la commande indiquée ci-dessous devrait fonctionner à distance
>et sans couper la connexion ssh.

Ah bon, je peux démonter les interfaces réseaux sans être déconnecté ???

Oui, mais uniquement si tu utilises une connexion ssh. C'est d'ailleurs
pour cela que la bonne façon de mettre un système Debian à jour sur une
machine distante est d'utiliser ssh, tout autre type de connexion
(telnet, XDM) peut être coupé par la mise à jour.

L'écran n'est nécessaire que s'il y a
>un problème dans l'exécution des commandes (mais, c'est pareil si tu as
>un problème lors du redémarrage).

Je ne comprend pas bien...

Et bien, si ton système se bloque au démarrage, il te faudra bien
brancher un écran pour diagnostique le problème, mais je diverge...

>>Pour information, ma table ip_conntrack s'est subitment remplie entre
>>dimanche soir et lundi matin : mes logs indiquent un nombre important de
>>tentive de connexion sur mon serveur par ssh (je vois plein de login
>>avec des users fantaisistes...)
>
>
>Il y a un motif dans les adresses IP d'origine ? Tu peux peut-être les
>bloquer avant l'ouverture de l'authentification SSH...

Un motif ? Non, c'est 4 ou 5 adresses IP différentes dans ip_conntrack.
Par contre, dans /var/log/auth.log il y a eu plein de tentative de
connexion avec des noms d'utilisateurs n'existants pas sur mon système
(ils semblent tirés d'un annuaires de noms...). Mais les adresses IP
sont différentes de celles de ip_conntrack... je ne comprend pas tout.

Je ne connais pas assez ip_conntrack pour savoir d'où vient cette
différence. Le mécanisme simple hosts_access peut te permettre de
n'autoriser la connexion ssh que depuis certaines adresses IP bien
précises avec une ligne comme ceci dans /etc/hosts.allow :

sshd: XXX.XXX.XXX.XXX

(avec le ou les adresses IP à autoriser)

et une ligne comme ceci dans /etc/hosts.deny :

sshd: ALL


Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org