Czym się różnią te dwa: Aktywne poł. TCP    Ostatnie poł. TCP ?

I nie chce mi się wierzyć, że mam 800 połączeń na sek. Czy to jest brane z tablicy conntracka, z tego pliku /proc/net/nf_conntrack?

Podobnie jak ten parametr w statusie panelu po zalogowaniu Połączenia:1514/4096 -- to nie są połączenia tylko status śledzenia połączeń, czyli ilość wpisów w tym pliku powyżej. A to są dwie różne rzeczy przecie. Można zakończyć połączenie, a ono dalej jest śledzone przez krenel przez określony przedział czasu -- różne stany, różne czasy ale to nie znaczy wcale, że mam aktywnych 1500 połączeń.

Żebym ja jeszcze wiedział gdzie, co i jak.

A to z tym Połączenia: .../4096 to przez przypadek trafiłem bo przeglądałem sysctl.conf i tam było

# sysctl -a | grep -i netfilter.nf_conntrack_max
net.netfilter.nf_conntrack_max = 4096

Trochę mało pomyślałem i zmieniłem sobie w na 8192. Później przeglądając panel dostrzegłem w firewall > limit połączeń:

Limity połączeń
Maks. liczba połączeń: 4096 (maks. 16384)
Czas życia połączenia TCP: 600 sek. (maks. 3600)
Czas życia połączenia UDP: 180 sek. (maks. 3600)

Po zmianie w panelu tej liczby 4096, parametr netfilter.nf_conntrack_max uległ zmianie, a on nie odpowiada za max liczbę połaczeń tylko za maksymalną ilość śledzonych połączeń a to różnica. I faktyczna liczba połączeń będzie sporo niższa. Jako, że mój host nawiązuje dużo połączeń, to temu jest w conntracku tyle wpisów.

Przykład: na routerze mam wpis w conntracku:

ipv4     2 udp      17 118 src=82.209.212.70 dst=mój_zew_adres_ip sport=51413 dport=12345 packets=2 bytes=106 src=192.168.1.150 dst=82.209.212.70 sport=12345 dport=51413 packets=2 bytes=96 [ASSURED] mark=0 use=2

Na hoście mam w conntracku

ipv4     2 udp      17 83 src=82.209.212.70 dst=192.168.1.150 sport=51413 dport=12345 src=192.168.1.150 dst=82.209.212.70 sport=12345 dport=51413 [ASSURED] mark=5 zone=0 use=2

To jest to samo połączenie ale gdy szukam go w netstat, no bo według opisu to jest połączenie, to nie znajduje mi żadnego:

# netstat -tupan | grep 82.209.212.70

Piąta  wartość  z tego wpisu z conntracka (83) to jest czas w sekundach ile jeszcze ta linijka się będzie utrzymywać w tablicy zanim zniknie ale to nie znaczy, że połączenie jest aktywne. I dlatego mi te liczby w panelu gargulca coś nie pasują 800 połączeń na sekundę? Przecie mój operator by mi neta odciął -- tłumaczenie jest trochę mylące.

Ja nigdy nie byłem dobry w spolszczaniu nazw angielskich i nie jestem tego zwolennikiem -- patrz co wymyślają przy tłumaczenie tytułów filmów. Dla mnie to jest po prostu conntrack i słysząc conntrack, wiem do czego się to odnosi. Przeciętnemu zjadaczowi chleba nic nie powie informacja o conntracku, ani o śledzeniu połączeń w kernelu, bo do tego trzeba by parę stron textu wyjaśnienia napisać. A to info co jest, wprowadzić może tylko człowieka w błąd, bo jak podałem na przykładzie wyżej, liczba faktycznych połączeń jest parokrotnie mniejsza.

Nie prościej jest zwyczajnie usunąć tę informację? Spójrz na to z perspektywy zwykłego człowieka -- co mu przyjdzie do głowy jak zobaczy 1500 połączeń w panelu? Ma to dla niego jakieś znaczenie skoro wskazanie jest dalekie od prawdy?

Jeśli już się bawić w to, to ja bym zostawił angielskiego conntracka, bo każdy kto choć trochę na sieciach operuje będzie wiedział z czym to się je, a ci co nie wiedzą, to se wygooglają i trafią na link -- http://www.faqs.org/docs/iptables/theco … tries.html

W każdym razie ja bym tego nie zostawiał jako "połączenia".