[linux-l] 2.6.8 besser ?
Christoph Biedl
cbiedl at gmx.de
Sa Aug 27 18:04:36 CEST 2005
Ivan Villanueva wrote...
> On Sat, Aug 27, 2005 at 11:18:20AM +0200, Christoph Biedl wrote:
> > [...]
> > Hast Du netfilter aktiviert, sprich: Zeigt "iptables -vnL" irgendwelche
> > Chains an? Wenn dann ein Downgrade auf Kernel 2.6.8 was bringt:
> > Willkommen im Club.
>
> Interessant. Bei mir funktionieren auch ein paar Sachen besser mit dem
> 2.6.8 als mit neuen Kerneln. Was ist mit den neuen Kerneln passiert ?
Konkret netfilter: Der wurde in 2.6.9 zumindest für tcp erheblich
verändert. Nach den Papern dazu ist das neue Modell sehr viel besser,
vor allem bei Verbindungen mit Paketverlusten. Nachteil ist allerdings,
daß regelmäßig Pakete als INVALID markiert werden, obwohl sie es nicht
sind. Ich weiß allerdings nur von etwa vier Leuten, die dieses Problem
gesehen haben. Teilweise sind sie dann allerdings gravierend: Ohne ein
Durchlassen aller derartigen Pakete(*) mit "-m state --state INAVLID
-j ACCEPT" kommt da kein brauchbares Netz mehr zustande. Irgendwas im
connection tracking ist da schrecklich kaputt, allerdings läßt sich das
Problem nicht zuverlässig reproduzieren. Sonst gäb's schon längst
konkrete reports in den einschlägigen Listen.
Christoph
(*) was Sicherheitsprobleme mit sich bringen kann
Mehr Informationen über die Mailingliste linux-l