Servercrash - ip_conntrack überlauf?
Posted: 2011-03-16 13:46
Hallo,
ich hab hier einen Server mit Debian lenny - Xen Kernel.
Läuft seit über zwei Jahren absolut stabil. Allerdings "hängt" er sich seit kurzem sporadisch auf so im Abstand von 1-3 Tagen. Kann dann nur per Hardreset wiederbelebt werden. In den Logs ist absolut nichts zu sehen. Daher dachte ich zuerst an einen Hardwarefehler.
Aber die wurde jetzt getestet und ist ok.
Es laufen zwei lenny vms. Einmal ein Mail System und einmal ein Webserver.
Haben jeweils ein bridge interface im Hostsystem.
Auf dem Hostsystem:
Kann es sein das jemand den Server "abschiesst" indem er die ip_conntrack table im Hostsystem füllt --> out of memory? Oder nur synflood?
Wie müsste ich vorgehen? Limits für jeden weitergeleiteten port setzen ala iptables -I FORWARD -p tcp --dport -m state --state NEW -m recent --update z.B für den Webserver. Ein lggging wär natürlich auch interessant in dem Fall. Würde die Regel dann zuerst kommen?
Bin für jede Hilfe/Tips dankbar.
ich hab hier einen Server mit Debian lenny - Xen Kernel.
Läuft seit über zwei Jahren absolut stabil. Allerdings "hängt" er sich seit kurzem sporadisch auf so im Abstand von 1-3 Tagen. Kann dann nur per Hardreset wiederbelebt werden. In den Logs ist absolut nichts zu sehen. Daher dachte ich zuerst an einen Hardwarefehler.
Aber die wurde jetzt getestet und ist ok.
Es laufen zwei lenny vms. Einmal ein Mail System und einmal ein Webserver.
Haben jeweils ein bridge interface im Hostsystem.
Auf dem Hostsystem:
Muss zu meiner Schande gestehen da ich mich mit Iptables nie gross befasst habe sondern immer drauf geachtet hab die Dienste sauber zu konfigurieren.iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 25497 packets, 1727K bytes)
pkts bytes target prot opt in out source destination
479 25660 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:80 to:192.168.2.2:80
2 120 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:1500 to:192.168.2.2:22
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:1501 to:192.168.3.2:22
26 1560 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:25 to:192.168.3.2:25
10 600 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:993 to:192.168.3.2:993
0 0 DNAT tcp -- eth0 * 0.0.0.0/0 x.x.x.x tcp dpt:995 to:192.168.3.2:995
Chain POSTROUTING (policy ACCEPT 1873 packets, 133K bytes)
pkts bytes target prot opt in out source destination
4688 394K SNAT all -- * eth0 192.168.3.2 0.0.0.0/0 to:x.x.x.x
50 3356 SNAT all -- * eth0 192.168.3.2 0.0.0.0/0 to:x.x.x.x
Chain OUTPUT (policy ACCEPT 1358 packets, 106K bytes)
pkts bytes target prot opt in out source destination
Kann es sein das jemand den Server "abschiesst" indem er die ip_conntrack table im Hostsystem füllt --> out of memory? Oder nur synflood?
Wie müsste ich vorgehen? Limits für jeden weitergeleiteten port setzen ala iptables -I FORWARD -p tcp --dport -m state --state NEW -m recent --update z.B für den Webserver. Ein lggging wär natürlich auch interessant in dem Fall. Würde die Regel dann zuerst kommen?
Bin für jede Hilfe/Tips dankbar.