# ip_conntrack - huge udp timeout (netfilter problem?) SOLVED

## danja

i was watching my gentoo router getting stuck with "ip_conntrack table full" many times last days.

the problem, as i figured out, was emule running on some of the computers in the network.

i was checking out /sys/net/ip_conntrack and my eye got caught by the crazy HUGE timeout specified for udp connections:

```
netra ~ # tail /proc/net/ip_conntrack

udp      17 773094112422 src=192.168.1.19 dst=192.168.1.253 sport=1029 dport=53 src=192.168.1.253 dst=192.168.1.19 sport=53 dport=1029 [ASSURED] use=1

tcp      6 73 TIME_WAIT src=192.168.1.27 dst=213.165.64.22 sport=3676 dport=110 src=213.165.64.22 dst=82.168.235.167 sport=110 dport=3676 [ASSURED] use=1

udp      17 257698037391 src=192.168.1.1 dst=83.59.110.122 sport=4672 dport=4672 src=83.59.110.122 dst=82.168.235.167 sport=4672 dport=4672 use=1

udp      17 257698036612 src=192.168.1.253 dst=239.255.255.250 sport=32770 dport=1900 [UNREPLIED] src=239.255.255.250 dst=192.168.1.253 sport=1900 dport=32770 use=1

udp      17 257698037635 src=192.168.1.1 dst=220.133.165.168 sport=4672 dport=4243 src=220.133.165.168 dst=82.168.235.167 sport=4243 dport=4672 use=1

udp      17 257698037196 src=192.168.1.1 dst=209.204.61.170 sport=1046 dport=6793 [UNREPLIED] src=209.204.61.170 dst=82.168.235.167 sport=6793 dport=1046 use=1

udp      17 257698037151 src=192.168.1.1 dst=82.240.252.169 sport=4672 dport=4672 src=82.240.252.169 dst=82.168.235.167 sport=4672 dport=4672 use=1

udp      17 257698036628 src=192.168.1.19 dst=81.191.9.71 sport=32372 dport=28079 src=81.191.9.71 dst=82.168.235.167 sport=28079 dport=32372 use=1

udp      17 257698037309 src=192.168.1.19 dst=24.154.28.228 sport=32372 dport=54548 src=24.154.28.228 dst=82.168.235.167 sport=54548 dport=32372 use=1

udp      17 257698036851 src=192.168.1.1 dst=82.216.60.254 sport=4672 dport=4662 src=82.216.60.254 dst=82.168.235.167 sport=4662 dport=4672 use=1

```

how come that even [UNREPLIED] connections have 257698036628 seconds timeout? or is it endless?

according to netfilter the timeout has to be 60/180 for NEW/ASSURED connections:

```
netra ~ # cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout

60

netra ~ # cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

180

```

i'm running 2.4.32-sparc-r4 + patch-o-matic applied.

would really appreciate some advice on how to keep udp connections under control.Last edited by danja on Sat Jun 10, 2006 2:01 am; edited 1 time in total

----------

## danja

hm... noone have seen anything like this before?

hello geeks, help me out please!

i tried diff 2.4 kernels and netfilter, the problem stays.

----------

## nielchiano

no solution, but check out this topic:

https://forums.gentoo.org/viewtopic-t-463726.html

----------

## danja

well, in my case connection timeout is totally out of mind, can't even be compared to 4,9 days.

am i so lucky to be one of the 'chosen' to face this BUG that there is no real information about it?

for now i'm just dropping all UDP thaffic on ports that emule uses (32359-32459), but my conntrack_max is still getting overrun pretty quickly - UDP connections on allowed ports, once they get established - never expire (well, after 257697943932/86400 = 2982615 days)...

tcp things are looking fine:

```
tcp      6 84 TIME_WAIT src=192.168.1.14 dst=130.117.156.17 sport=3157 dport=80

src=130.117.156.17 dst=82.168.235.167 sport=80 dport=3157 [ASSURED] use=1

tcp      6 431999 ESTABLISHED src=192.168.1.14 dst=130.117.156.17 sport=3201 dpo

rt=80 src=130.117.156.17 dst=82.168.235.167 sport=80 dport=3201 [ASSURED] use=1

```

but not udp: (and this one is on DNS port, i have thousands of lines like this in my /proc/net/ip_conntrack)

```
udp      17 257697945458 src=192.168.1.14 dst=192.168.1.253 sport=1269 dport=53

src=192.168.1.253 dst=192.168.1.14 sport=53 dport=1269 use=1

udp      17 773094005362 src=192.168.1.37 dst=192.168.1.253 sport=1026 dport=53

src=192.168.1.253 dst=192.168.1.37 sport=53 dport=1026 [ASSURED] use=1

```

here is my 'iptables --list' :

```

Chain INPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

HOST_BLOCK  all  --  anywhere             anywhere            

MAC_FILTER  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

ACCEPT     ipv6 --  anywhere             anywhere            

ACCEPT     ipv6-icmp--  anywhere             anywhere            

VALID_CHK  all  --  anywhere             anywhere            

EXT_INPUT_CHAIN !icmp --  anywhere             anywhere            state NEW 

EXT_INPUT_CHAIN  icmp --  anywhere             anywhere            state NEW limit: avg 20/sec burst 100 

EXT_ICMP_CHAIN  icmp --  anywhere             anywhere            state NEW 

ACCEPT     all  --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/sec burst 5 LOG level debug prefix `Dropped INPUT packet: ' 

DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)

target     prot opt source               destination         

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

MAC_FILTER  all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

HOST_BLOCK  all  --  anywhere             anywhere            

SPOOF_CHK  all  --  anywhere             anywhere            

VALID_CHK  all  --  anywhere             anywhere            

RESERVED_NET_CHK  all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

LAN_INET_FORWARD_CHAIN  all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:wap-vcard flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6935 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6996 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6972 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:18933 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:32459 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:32359 flags:FIN,SYN,RST,ACK/SYN 

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4662 flags:FIN,SYN,RST,ACK/SYN 

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 3 LOG level debug prefix `Dropped FORWARD packet: ' 

DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination         

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

HOST_BLOCK  all  --  anywhere             anywhere            

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 5 LOG level debug prefix `FRAGMENTED PACKET (OUT): ' 

DROP       all  -f  anywhere             anywhere            

EXT_OUTPUT_CHAIN  all  --  anywhere             anywhere            

Chain EXT_ICMP_CHAIN (1 references)

target     prot opt source               destination         

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-request(ping) flood: ' 

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-unreachable flood: ' 

LOG        icmp --  anywhere             anywhere            icmp source-quench limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-source-quench flood: ' 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-time-exceeded flood: ' 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-param.-problem flood: ' 

DROP       icmp --  anywhere             anywhere            icmp echo-request 

DROP       icmp --  anywhere             anywhere            icmp destination-unreachable 

DROP       icmp --  anywhere             anywhere            icmp source-quench 

DROP       icmp --  anywhere             anywhere            icmp time-exceeded 

DROP       icmp --  anywhere             anywhere            icmp parameter-problem 

LOG        icmp --  anywhere             anywhere            limit: avg 12/hour burst 1 LOG level debug prefix `ICMP(other) flood: ' 

DROP       icmp --  anywhere             anywhere            

Chain EXT_INPUT_CHAIN (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp dpt:0 limit: avg 6/hour burst 1 LOG level debug prefix `TCP port 0 OS fingerprint: ' 

LOG        udp  --  anywhere             anywhere            udp dpt:0 limit: avg 6/hour burst 1 LOG level debug prefix `UDP port 0 OS fingerprint: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:0 

DROP       udp  --  anywhere             anywhere            udp dpt:0 

LOG        tcp  --  anywhere             anywhere            tcp spt:0 limit: avg 6/hour burst 5 LOG level debug prefix `TCP source port 0: ' 

LOG        udp  --  anywhere             anywhere            udp spt:0 limit: avg 6/hour burst 5 LOG level debug prefix `UDP source port 0: ' 

DROP       tcp  --  anywhere             anywhere            tcp spt:0 

DROP       udp  --  anywhere             anywhere            udp spt:0 

LOG        tcp  --  anywhere             anywhere            tcp dpt:http limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:http 

LOG        tcp  --  anywhere             anywhere            tcp dpt:auth limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:auth 

LOG        tcp  --  anywhere             anywhere            tcp dpt:epmap limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:epmap 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-ns limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ns 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn limit: avg 3/min burst 5 LOG level debug prefix `Denied TCP port: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn 

LOG        tcp  --  anywhere             anywhere            tcp dpt:http limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:http reject-with tcp-reset 

LOG        tcp  --  anywhere             anywhere            tcp dpt:auth limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with tcp-reset 

LOG        tcp  --  anywhere             anywhere            tcp dpt:epmap limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:epmap reject-with tcp-reset 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-ns limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ns reject-with tcp-reset 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:netbios-dgm reject-with tcp-reset 

LOG        tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn limit: avg 3/min burst 5 LOG level debug prefix `Rejected TCP port: ' 

REJECT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn reject-with tcp-reset 

RESERVED_NET_CHK  all  --  anywhere             anywhere            

LOG        tcp  --  anywhere             anywhere            tcp dpt:!nfs multiport sports ftp-data,ftp,ssh,telnet,http,pop3,imap,https,imaps,pop3s limit: avg 6/hour burst 1 LOG level debug prefix `Possible DRDOS TCP attempt: ' 

DROP       tcp  --  anywhere             anywhere            tcp dpt:!nfs multiport sports ftp-data,ftp,ssh,telnet,http,pop3,imap,https,imaps,pop3s 

LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 3/min burst 1 LOG level debug prefix `ICMP-request: ' 

LOG        icmp --  anywhere             anywhere            icmp destination-unreachable limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-unreachable: ' 

LOG        icmp --  anywhere             anywhere            icmp source-quench limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-source-quench: ' 

LOG        icmp --  anywhere             anywhere            icmp time-exceeded limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-time-exceeded: ' 

LOG        icmp --  anywhere             anywhere            icmp parameter-problem limit: avg 12/hour burst 1 LOG level debug prefix `ICMP-param.-problem: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level debug prefix `Stealth scan (UNPRIV)?: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level debug prefix `Stealth scan (PRIV)?: ' 

DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 limit: avg 6/min burst 2 LOG level debug prefix `Connection attempt (PRIV): ' 

LOG        udp  --  anywhere             anywhere            udp dpts:0:1023 limit: avg 6/min burst 2 LOG level debug prefix `Connection attempt (PRIV): ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 limit: avg 6/min burst 2 LOG level debug prefix `Connection attempt (UNPRIV): ' 

LOG        udp  --  anywhere             anywhere            udp dpts:1024:65535 limit: avg 6/min burst 2 LOG level debug prefix `Connection attempt (UNPRIV): ' 

DROP       tcp  --  anywhere             anywhere            

DROP       udp  --  anywhere             anywhere            

DROP       icmp --  anywhere             anywhere            

LOG        all  --  anywhere             anywhere            limit: avg 1/min burst 5 LOG level debug prefix `Other-IP connection attempt: ' 

DROP       all  --  anywhere             anywhere            

Chain EXT_OUTPUT_CHAIN (1 references)

target     prot opt source               destination         

Chain HOST_BLOCK (3 references)

target     prot opt source               destination         

LOG        all  --  82-168-239-254.dsl.ip.tiscali.nl  anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Blocked hosts violation: ' 

DROP       all  --  82-168-239-254.dsl.ip.tiscali.nl  anywhere            

LOG        all  --  82-168-76-16.dsl.ip.tiscali.nl  anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Blocked hosts violation: ' 

DROP       all  --  82-168-76-16.dsl.ip.tiscali.nl  anywhere            

LOG        all  --  82-168-43-128.ip.tiscali.nl  anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Blocked hosts violation: ' 

DROP       all  --  82-168-43-128.ip.tiscali.nl  anywhere            

Chain LAN_INET_FORWARD_CHAIN (1 references)

target     prot opt source               destination         

LOG        udp  --  192.168.1.1          anywhere            udp dpt:32459 limit: avg 1/hour burst 1 LOG level debug prefix `Hostwise LAN->INET denied: ' 

DROP       udp  --  192.168.1.1          anywhere            udp dpt:32459 

LOG        udp  --  192.168.1.27         anywhere            udp dpt:32359 limit: avg 1/hour burst 1 LOG level debug prefix `Hostwise LAN->INET denied: ' 

DROP       udp  --  192.168.1.27         anywhere            udp dpt:32359 

ACCEPT     tcp  --  anywhere             anywhere            

ACCEPT     udp  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

Chain MAC_FILTER (2 references)

target     prot opt source               destination         

Chain RESERVED_NET_CHK (2 references)

target     prot opt source               destination         

LOG        all  --  10.0.0.0/8           anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Class A address: ' 

LOG        all  --  172.16.0.0/12        anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Class B address: ' 

LOG        all  --  192.168.0.0/16       anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Class C address: ' 

LOG        all  --  169.254.0.0/16       anywhere            limit: avg 1/min burst 1 LOG level debug prefix `Class M$ address: ' 

DROP       all  --  10.0.0.0/8           anywhere            

DROP       all  --  172.16.0.0/12        anywhere            

DROP       all  --  192.168.0.0/16       anywhere            

DROP       all  --  169.254.0.0/16       anywhere            

Chain SPOOF_CHK (2 references)

target     prot opt source               destination         

RETURN     all  --  192.168.1.0/24       anywhere            

LOG        all  --  192.168.1.0/24       anywhere            limit: avg 3/min burst 5 LOG level debug prefix `Spoofed packet: ' 

DROP       all  --  192.168.1.0/24       anywhere            

RETURN     all  --  anywhere             anywhere            

Chain VALID_CHK (2 references)

target     prot opt source               destination         

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG limit: avg 3/min burst 5 LOG level debug prefix `Stealth XMAS scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG limit: avg 3/min burst 5 LOG level debug prefix `Stealth XMAS-PSH scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG limit: avg 3/min burst 5 LOG level debug prefix `Stealth XMAS-ALL scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN limit: avg 3/min burst 5 LOG level debug prefix `Stealth FIN scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST limit: avg 3/min burst 5 LOG level debug prefix `Stealth SYN/RST scan: ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN limit: avg 3/min burst 5 LOG level debug prefix `Stealth SYN/FIN scan(?): ' 

LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE limit: avg 3/min burst 5 LOG level debug prefix `Stealth Null scan: ' 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN 

DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 

LOG        tcp  --  anywhere             anywhere            tcp option=64 limit: avg 3/min burst 1 LOG level debug prefix `Bad TCP flag(64): ' 

LOG        tcp  --  anywhere             anywhere            tcp option=128 limit: avg 3/min burst 1 LOG level debug prefix `Bad TCP flag(128): ' 

DROP       tcp  --  anywhere             anywhere            tcp option=64 

DROP       tcp  --  anywhere             anywhere            tcp option=128 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/ACK 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/FIN 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/FIN,ACK 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST,ACK 

DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN,ACK 

LOG        tcp  --  anywhere             anywhere            tcp dpts:1024:65535 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level debug prefix `Stealth scan (UNPRIV)?: ' 

LOG        tcp  --  anywhere             anywhere            tcp dpts:0:1023 flags:!FIN,SYN,RST,ACK/SYN limit: avg 3/min burst 5 LOG level debug prefix `Stealth scan (PRIV)?: ' 

DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN 

LOG        icmp --  anywhere             anywhere            icmp echo-request state INVALID limit: avg 1/min burst 2 LOG level debug prefix `INVALID packet: ' 

LOG        icmp --  anywhere             anywhere            icmp !echo-request state INVALID limit: avg 1/min burst 2 LOG level debug prefix `INVALID packet: ' 

LOG       !icmp --  anywhere             anywhere            state INVALID limit: avg 1/min burst 2 LOG level debug prefix `INVALID packet: ' 

DROP       all  --  anywhere             anywhere            state INVALID 

LOG        all  -f  anywhere             anywhere            limit: avg 3/min burst 1 LOG level warning prefix `Fragmented packet: ' 

DROP       all  -f  anywhere             anywhere            

```

can anyone confirm similar behaviour?

----------

## danja

in my firewall script i had this:

rc.firewall

 *Quote:*   

>   # Change some default timings to fix false logs generated by "lost connections"
> 
>   ###############################################################################
> 
>   echo " Setting default conntrack timeouts."
> ...

 

even tho it looks fine, somehow it sets the timeout wrong.

when i did the same via sysctl.conf and commented out that part of my firewall script everything came back to normal (i had to restart the box)

sysctl.conf

 *Quote:*   

> # UDP timeouts
> 
> net.ipv4.netfilter.ip_conntrack_udp_timeout = 60
> 
> # ESTABLISHED UDP connections
> ...

 

so it looks like changing ip_conntrack timeout settings anyhow but not via sysctl.conf is causing troubles!

btw, my firewall script is 'arno iptables firewall', i find it handy, except this strange glitch but i believe the glitch is rather in netfilter itself than in simple "echoing" new values.

the good looking result:

 *Quote:*   

> tcp      6 3 TIME_WAIT src=192.168.1.19 dst=64.233.167.99 sport=1394 dport=80 src=64.233.167.99 dst=82.168.235.167 sport=80 dport=1394 [ASSURED] use=1
> 
> tcp      6 12 TIME_WAIT src=192.168.1.25 dst=64.237.40.140 sport=3530 dport=80 src=64.237.40.140 dst=82.168.235.167 sport=80 dport=3530 [ASSURED] use=1
> 
> udp      17 18 src=192.168.1.37 dst=192.168.1.255 sport=138 dport=138 [UNREPLIED] src=192.168.1.255 dst=192.168.1.37 sport=138 dport=138 use=1
> ...

 

----------

## nielchiano

so everything works if you set it via sysctl, but not when echo-ing...

you can always use the sysctl is your firewall-script:

```
sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout=60

sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout_stream=180
```

----------

