/u/34550/crop5fb18601699ca_cropped.png?f=community)
Vraagje. Recentelijk liepen we tegen een connectieprobleem aan op een vrij drukke node. Regelmatig werd de melding "nf_conntrack: table full, dropping packet" weergegeven. Nu sprak dit regelijk voor zich en had ik het probleem snel opgelost door de nf_conntrack_max op te schroeven. So far so good.
Echter was ik me er wel van bewust dat dit suboptimaal is omdat we volgens mij heel weinig connecties hoeven te tracken. Het betreft eigenlijk een vrij simpele reverse proxy mbv nginx. Deze staat voor een applicatieserver.
Connection tracking voor localhost had ik al uitgesloten middels
Dit werkt uitstekend. Het aantal connecties ging al wat omlaag omdat we wat meuk hebben draaien die mbv een localhost-socket verbinding maakt met een paar daemons.
Nu wilden we eigenlijk ook de connections naar de applicatieserver stateless maken, dus ik dacht ik doe ongeveer hetzelfde truukje:
Hierbij is 5.5.5.5 het ip van de applicatieserver achter de reverse proxy. Mijn theorie is/was dat dit zou moeten werken, omdat de ESTABLISHED/RELATED connecties die normaliter zouden ontstaan nu worden geACCEPT door de whitelisting rules op ip-basis.
Echter blijkt nu dat als ik deze regels invoer, de proxy helemaal niet meer met de applicatieserver kan communiceren. Ik maak vast ergens een denkfout, maar ik kom er niet achter waar ik de mist in ga. Ook Google kan me in deze niet echt verder helpen.
edit:
Ik heb nu ook toegevoegd. De applicatieserver is dan wel te bereiken door de proxy, maar de tracked connection count loopt dan héél hard op op beide servers.
Echter was ik me er wel van bewust dat dit suboptimaal is omdat we volgens mij heel weinig connecties hoeven te tracken. Het betreft eigenlijk een vrij simpele reverse proxy mbv nginx. Deze staat voor een applicatieserver.
Connection tracking voor localhost had ik al uitgesloten middels
iptables -t raw -I PREROUTING -i lo -j NOTRACK
iptables -t raw -I OUTPUT -o lo -j NOTRACK
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPTDit werkt uitstekend. Het aantal connecties ging al wat omlaag omdat we wat meuk hebben draaien die mbv een localhost-socket verbinding maakt met een paar daemons.
Nu wilden we eigenlijk ook de connections naar de applicatieserver stateless maken, dus ik dacht ik doe ongeveer hetzelfde truukje:
iptables -t raw -A OUTPUT -d 5.5.5.5 -j NOTRACK
iptables -A INPUT -s 5.5.5.5 -j ACCEPT
iptables -A OUTPUT -d 5.5.5.5 -j ACCEPTHierbij is 5.5.5.5 het ip van de applicatieserver achter de reverse proxy. Mijn theorie is/was dat dit zou moeten werken, omdat de ESTABLISHED/RELATED connecties die normaliter zouden ontstaan nu worden geACCEPT door de whitelisting rules op ip-basis.
Echter blijkt nu dat als ik deze regels invoer, de proxy helemaal niet meer met de applicatieserver kan communiceren. Ik maak vast ergens een denkfout, maar ik kom er niet achter waar ik de mist in ga. Ook Google kan me in deze niet echt verder helpen.
edit:
Ik heb nu ook
iptables -t raw -A PREROUTING -d 5.5.5.5 -j NOTRACK
[ Voor 6% gewijzigd door HarmoniousVibe op 04-02-2016 11:33 ]
12 × LG 330Wp (Enphase) | Daikin FTXM-N 3,5+2,0+2,0kW | Panasonic KIT-WC03J3E5 3kW
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)