求助 ipt_connlimit: Oops: invalid ct state ?

dalian_gq

使用ipt_connlimit做连接数限制，控制台上不断出现ipt_connlimit: Oops: invalid ct state ? 请问是什么地方出现了问题？应该怎么解决？
另一个问题，当我通过ssh使用linux时，如何能看到控制台上的出错信息，如：ipt_connlimit: Oops: invalid ct state ?

谢谢！

laixi781211

你是怎么写的？

dalian_gq

路由表

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.200.4    *               255.255.255.252 U     0      0        0 eth1
172.16.200.0    *               255.255.255.252 U     0      0        0 eth0
210.30.184.0     172.16.200.1    255.255.255.0   UG    0      0        0 eth0
210.30.183.0     172.16.200.1    255.255.255.0   UG    0      0        0 eth0
210.30.180.0     172.16.200.6    255.255.240.0   UG    0      0        0 eth1
default         172.16.200.1    0.0.0.0         UG    0      0        0 eth0

iptables-save

# Generated by iptables-save v1.3.6 on Mon Dec 10 19:55:12 2007
*filter
:INPUT ACCEPT [1525:120500]
:FORWARD ACCEPT [6656267:4493373300]
:OUTPUT ACCEPT [2279:253240]
:tcp_control - [0:0]
:udp_control - [0:0]
-A FORWARD -p udp -j udp_control
-A FORWARD -p tcp -j tcp_control
-A FORWARD -p icmp -j ACCEPT
-A tcp_control -s 210.30.191.5 -p tcp -j ACCEPT
-A tcp_control -d 210.30.191.5 -p tcp -j ACCEPT
-A tcp_control -m ipp2p --ipp2p -j DROP
-A tcp_control -s 210.30.180.0/255.255.255.0 -p tcp -m connlimit --connlimit-abov
e 400 --connlimit-mask 32 -j DROP
-A tcp_control -s 210.30.180.0/255.255.240.0 -p tcp -m connlimit --connlimit-abov
e 30 --connlimit-mask 32 -j DROP
-A udp_control -d 210.30.180.201 -p udp -j ACCEPT
-A udp_control -s 210.30.180.201 -p udp -j ACCEPT
-A udp_control -p udp -m udp --dport 53 -j ACCEPT
-A udp_control -s 210.30.191.5 -p udp -j ACCEPT
-A udp_control -d 210.30.191.5 -p udp -j ACCEPT
-A udp_control -j DROP
COMMIT
# Completed on Mon Dec 10 19:55:12 2007

laixi781211

/sbin/iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above
80 --connlimit-mask 24  -j DROP
加--syn试 一下

dalian_gq

感谢楼上的回复，试了一下，还是会出现ipt_connlimit: Oops: invalid ct state 的问题，但速度已经没有那么快了。
究竟是什么原因会出现这个问题？如何根本解决？

独孤九贱

原帖由 dalian_gq 于 2007-12-10 12:51 发表
感谢楼上的回复，试了一下，还是会出现ipt_connlimit: Oops: invalid ct state 的问题，但速度已经没有那么快了。
究竟是什么原因会出现这个问题？如何根本解决？

        ct = ip_conntrack_get((struct sk_buff *)skb, &ctinfo);
        if (NULL == ct) {
                printk("ipt_connlimit: Oops: invalid ct state ?\n");
                *hotdrop = 1;
                return 0;
        }
感觉像是在状态跟踪前执行了此功能的……

dalian_gq

遗憾呀，我不懂源码。
请问是源码有问题，还是我网络中存在不标准的数据包？

独孤九贱

简单地说，当一个包匹备你的规则，但是在连接跟踪表中查不到相应的信息，就会报这个错误。这要看你的网络实际情况。例如：
A、你的规则；
B、触发这条规则的数据包的sniffer数据等等。

platinum

原帖由 独孤九贱 于 2007-12-11 10:54 发表
简单地说，当一个包匹备你的规则，但是在连接跟踪表中查不到相应的信息，就会报这个错误。这要看你的网络实际情况。例如：
A、你的规则；
B、触发这条规则的数据包的sniffer数据等等。

九贱说的是混杂模式下抓到的包吗？
这种包按道理是不会进入到 netfilter 层的啊

5639863

iptables -I  FORWARD    -m   conntrack  --ctstate INVALID -j DROP
在connlimit规则前加一条上面的规则。