[Problem] ip_conntrack: table full

[sharbich]

Hallo Ihr Lieben,

seit einiger Zeit bekomme ich folgende Fehlermeldung:

Oct 24 06:37:47 rome01 kernel: ip_conntrack: table full, dropping packet.

Sobald ich die Box neu starte sind die Fehlermeldungen weg, kommen jedoch nach einiger Zeit wieder. Meine Regeln lauten wie folgt:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  380 39659 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.1       tcp spt:25 
  363 25948 ACCEPT     tcp  --  dsl    *       0.0.0.0/0            192.168.178.1       multiport dports 443,1194 
    0     0 ACCEPT     tcp  --  lan    *       192.168.178.1        0.0.0.0/0           tcp spt:1900 dpt:1900 
 538K  111M ACCEPT     udp  --  dsl    *       0.0.0.0/0            192.168.178.1       multiport dports 3478,5060,7078:7083 
66504   38M ACCEPT     udp  --  *      *       0.0.0.0              255.255.255.255     udp spt:68 dpt:67 
19433 1226K ACCEPT     all  --  *      *       127.0.0.1            127.0.0.1           
1079K  209M ACCEPT     all  --  *      *       192.168.178.0/24     0.0.0.0/0           
 4702  629K ACCEPT     all  --  *      *       192.168.200.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  lan    *       169.254.0.0/16       0.0.0.0/0           
10682  385K ACCEPT     all  --  dsl    *       91.40.255.254        224.0.0.1           
80828   62M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
   31  1752 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-FRITZ-ACCESS ' 
   31  1752 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 8 packets, 1608 bytes)
 pkts bytes target     prot opt in     out     source               destination         
3777K  862M ACCEPT     all  --  lan    lan     0.0.0.0/0            0.0.0.0/0           
  45M 5012M TRANS      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-FWD-ACCESS ' 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP 12 packets, 4070 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 366K  108M ACCEPT     udp  --  *      dsl     192.168.178.1        217.0.0.0/13        multiport sports 3478,3479,5060,7078:7090,30000:31000,40000:41000 
46793 3494K ACCEPT     tcp  --  *      dsl     192.168.178.1        0.0.0.0/0           multiport dports 25,80,110,443 
 283K   63M ACCEPT     all  --  *      *       0.0.0.0/0            192.168.178.0/24    
 5036 3401K ACCEPT     all  --  *      *       0.0.0.0/0            192.168.200.0/24    
20651  744K ACCEPT     all  --  *      *       0.0.0.0/0            224.0.0.0/24        
10523 3826K ACCEPT     all  --  *      *       0.0.0.0/0            239.255.255.250     
19433 1226K ACCEPT     all  --  *      *       0.0.0.0/0            127.0.0.1           
16551 1179K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 53,123,5060 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            63.208.196.0/24     tcp dpt:80 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            208.73.211.70       
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            212.42.244.73       tcp dpt:80 
 1064  166K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  306 29910 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-CALL-HOME ' 
  306 29910 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain TRANS (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       192.168.178.1        0.0.0.0/0           multiport dports 20,21,22,25,80,110,465,995,5060 
32176 4671K ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.9       tcp dpt:1194 
  23M 3091M ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.0/24    multiport sports 80,443 
  760 71189 ACCEPT     tcp  --  lan    dsl     192.168.178.0/24     0.0.0.0/0           multiport dports 465,843,2555,7276,4015,5223,12350 
    0     0 ACCEPT     tcp  --  dsl    lan     0.0.0.0/0            192.168.178.25      tcp spt:80 
  21M 1195M ACCEPT     tcp  --  *      dsl     192.168.178.0/24     0.0.0.0/0           multiport dports 80,110,443,993,995,5228 
 487K  253M ACCEPT     udp  --  *      *       192.168.178.0/24     0.0.0.0/0           
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.9        64.71.188.203       tcp dpt:8881 
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.9        200.83.137.117      
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.9        200.83.139.205      
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.20       157.55.235.144      
    0     0 ACCEPT     tcp  --  lan    dsl     192.168.178.20       0.0.0.0/0           tcp dpt:587 
    0     0 ACCEPT     tcp  --  lan    dsl     192.158.178.23       111.221.77.140      
    0     0 ACCEPT     all  --  *      *       192.168.200.0/24     0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0              255.255.255.255     udp spt:68 dpt:67 
   67  8383 ACCEPT     icmp --  *      *       192.168.178.0/24     0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       192.168.178.33       0.0.0.0/0           
 661K  468M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 2378  156K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `[IPT] DENY-LAN-ACCESS ' 
 2378  156K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Habt Ihr eine Idee was ich dagegen machen kann?

Lieben Gruß von Stefan Harbich

 

[JohnDoe42]

Hallo,

schon mal hier geguckt ?
Versuche also mal ein

echo 131072 > /proc/sys/net/ipv4/ip_conntrack_max

und berichte, ob 's was nützt.
Grüße,

JD.

 

[sharbich]

Hallo,

lieben Dank, hätte ich im Internet ja auch mal finden können. Bis jetzt siehts gut aus.

Lieben Gruß von Stefan Harbich

 

[edgecrusher]

Die Frage ist doch eher, welche Applikation öffnet so viele TCP/UDP Verbindungen, die dann die ip_conntrack table vollmüllen. Hast Du mal geschaut, was für Verbindungen geöffnet werden, welcher Deiner Clients dafür verantwortlich ist und ggf. Welche Ziel IPs/Ports bedient werden (eventuell ja Malware auf einem/mehreren Deiner Clients)

 

[JohnDoe42]

Ich tippe auf das hier:

Chain TRANS (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 661K  468M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

 

[RalfFriedl]

Das ist weder ein Client noch eine Verbindung, sondern eine Regel, die auf bestehende Verbindungen angewendet wird.

 

[JohnDoe42]

Und wenn man sich mal die transferierte Datenmenge für diese Regel ansieht (und den Umstand, daß die stateful-Regel(n) wohl die einzige(n) sein dürfte, die das Modul ip_conntrack benutzt), könnte man auf die Idee kommen, daß dies zumindest die Regel ist, die den Zähler ansteigen läßt.
Ein bischen mehr Eingrenzung (Protokoll, Source-IP usw.) täte sicherlich sowohl der Sicherheit als auch der Lösung der Eingangsfrage gut.

 

[RalfFriedl]

Das Volumen für diese Regel kann sowohl von einer Verbindung als auch von 100.000 Verbindungen stammen. Es ist vermutlich der Download von den Ports, die nicht über sport vorher durchgelassen werden.