Etat de la pile réseau/Nat table Linux

[klimmrod]

Bonjour à tous,

Est-ce que quelqu'un sait si il est possible sur une machine linux de prendre connaissance de l'état de la pile réseau et de la table de NAT.

En effet, ma machine fonctionne correctement avec 3 interfaces réseaux ethernet plus un tunnel vpn ipsec.

Lorsque j'active le tunnel vpn, après 2 à 3h ma machine freeze complètement.

Pourtant je n'observe rien d'anormal dans le fichier /var/log/messages.

J'aimerais pouvoir visualiser l'état de la table de NAT pour voir si c'est elle qui explose ou alors ipsec.

Malheureusement un top ne me donne strictement rien puisque la machine est à 0% ou presque.

Par contre un route met énormément de temps à me rendre la main alors qu'un iptables -L -v -n va dans un premier temps rapidement me donner la liste de chain Input mais va tarder voir jamais me donner la chaine forward.

J'ai déjà beaucoup browser le net pour trouver comment connaître l'état du noyau mais malheureusement sans succès.

Toute vos idées ou pistes sont les bienvenues.

Klimmrod

[psykolivier]

Code: Tout sélectionner

cat /proc/net/ip_conntrack | wc -l

te permet de voir combien de connexions sont dans la table de conntrack; si le nombre est un peu trop delirant, tu peux faire en sorte de ne pas creer d'etat pour celles qui n'en necessitent pas absolument (serveur DNS, ntp...) de cette facon :

Code: Tout sélectionner

iptables -t raw -A PREROUTING -p udp --dport 123 -j NOTRACK
iptables -t raw -A OUTPUT -p udp --sport 123 -j NOTRACK


Je suis de cette façon passé de 300-350 états dans la table à 15, en ne marquant pas les connexions ntp.

Mais cette option n'est pas forcément disponible dans tous les kernels... à verifier.[/code]

[tomtom]

Hop un coup de pub pour les gars de chez INL qui développent de très bons softs libres.

En particulier et pour ce problème, pyctd

Voir aussi edenwall (pare-feu authentifiant) et nuface, interface d'administartion pour edenwall et aussi netfilter.


t.