Bonjour. Quelle version de kernel ? Que dit sysctl -p ? Puis sysctl -n net.netfilter.nf_conntrack_acct ?

Le 04/05/2022 à 11:17, Olivier a écrit :

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après. net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct
0

Je ne vois aucun message d'erreur dans les logs.

Slts

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Voici les infos demandées:

# uname -a
Linux gsapilot 5.10.0-13-amd64 #1 SMP Debian 5.10.106-1 (2022-03-17)
x86_64 GNU/Linux

# sysctl -a|grep nf_conntrack_acct

0

# sysctl -p /etc/sysctl.d/foo.conf
net.ipv4.ip_forward = 1
net.netfilter.nf_conntrack_acct = 1

# sysctl -a|grep nf_conntrack_acct
1

Si je comprends bien, la commande "sysctl -p <nomdufichier>" déclenche
la mise à jour du paramètre net.netfilter.nf_conntrack_acct
mais cette commande n'est pas exécutée au démarrage ou bien elle est exécutée mais son exécution ne donne pas l'effet escompté.

Le mer. 4 mai 2022 à 11:28, NoSpam <no-spam@tootai.net> a écrit :

Bonjour. Quelle version de kernel ? Que dit sysctl -p ? Puis sysctl -n net.netfilter.nf_conntrack_acct ?

Le 04/05/2022 à 11:17, Olivier a écrit :

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après.
net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct
0

Je ne vois aucun message d'erreur dans les logs.

Slts

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 04/05/2022 à 15:04, Olivier a écrit :

Voici les infos demandées:

# uname -a
Linux gsapilot 5.10.0-13-amd64 #1 SMP Debian 5.10.106-1 (2022-03-17)
x86_64 GNU/Linux

# sysctl -a|grep nf_conntrack_acct
0

# sysctl -p /etc/sysctl.d/foo.conf
net.ipv4.ip_forward = 1
net.netfilter.nf_conntrack_acct = 1

# sysctl -a|grep nf_conntrack_acct
1

Si je comprends bien, la commande "sysctl -p <nomdufichier>" déclenche
la mise à jour du paramètre net.netfilter.nf_conntrack_acct
mais cette commande n'est pas exécutée au démarrage ou bien elle est exécutée mais son exécution ne donne pas l'effet escompté.

C'est procps qui s'occupe de cela, systemctl status procps

Perso je fais sysctl -p (sans nom de fichier) après chaque
modification(s) celle(s) ci persiste(nt) dans le temps.

Le mer. 4 mai 2022 à 11:28, NoSpam <no-spam@tootai.net> a écrit :

Bonjour. Quelle version de kernel ? Que dit sysctl -p ? Puis sysctl -n
net.netfilter.nf_conntrack_acct ?

Le 04/05/2022 à 11:17, Olivier a écrit :

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après.
net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct
0

Je ne vois aucun message d'erreur dans les logs.

Slts

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour Olivier,

Olivier, on 2022-05-04:

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après. net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct
0

En démarrant le système avec comme argument de démarrage nf_conntrack.acct=1, est ce que ça aide ?

Un moyen de l'appliquer est d'éditer /etc/default/grub, et de
régler la variable GRUB_CMDLINE_LINUX_DEFAULT, par exemple :

GRUB_CMDLINE_LINUX_DEFAULT="nf_conntrack.acct=1"

et puis de reconstruire les entrées de menu grub :

$ sudo update-grub

Bonne journée, :)
--
Étienne Mollier <emollier@emlwks999.eu>
Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da
Sent from /dev/tty1, please excuse my verbosity.
On air: Genesis - The Return of the Giant Hogweed

-----BEGIN PGP SIGNATURE-----

iQIzBAABCgAdFiEEj5GyJ8fW8rGUjII2eTz2fo8NEdoFAmJytyAACgkQeTz2fo8N Edo7RhAAn4rkySWUBhbuvH/zzXpv8+K5Eqo7o6jnIfBvq43OALRZowgwueqnsQjz yEwydxIL5Vx11nYTfwoQ6YzqMpPKY8QD1ntQnXZ7GYg6PW9Ya2hmmapZ1g3s2NKR X/gWBbScaUNPTkzBHMBCLbl8fKwG7ZAe8eluBBZqJZ+/4tIcyiF1BGzNDLKFp574 sYaoeDdQJ1kF/j/RMgGo+/ifSDMieFjvG/C/q7ufKYP8+gAps97RQkutnHj/1zvN yxc+g79NBFzdPomoJJVa8J+KnE9RE8sNXkJaMUhr9HPHoYMNxABYHf0UNAcc5bsu 0iJsV5KNi0dJmmjmpMLv2KgMuzeim3n+uo/ukzdRDro8sTL4Uge/g0VRERdEB+an KZ0dBEihD83o9LtU5jScU8KEuoemC6/sWxfJLP4O8eaO0AjHgfCzReoJJCdwctDW P4DCh9GoNbFs5AHx79S4iw3XjwnAKOSnfsq/S1uVcFgCPiax5ihG3MkX9W1ZT9zJ IykCxMe+egfrwW9y6wLRQ/zohYmJ3RepLMoka23XVCpcl+Z6t3Cei4uPUzTFx5zR xi++4eADtWCAhSXaovz6M7bQbCS2VJ5N55ialVtVlt0ocVWR9spbVtlQANv9Ej7+ XKui0LxOjVqbl4ZgRpeNwOpaQcBMWZnNHxDgKaGvIYa51POSo

Le mercredi 4 mai 2022 à 11:20:03 UTC+2, Olivier a écrit :

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après. net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct

0

Je ne vois aucun message d'erreur dans les logs.

Slts

Je n'ai jamais manipulé cette variable mais la doc sysctl me pousse à me demander si éventuellement ce n'est pas le chargement d'un module particulier qui écrase la valeur d'une variable préalablement correctement alimentée par la lecture de sysctl.
conf au boot:

extrait de la page man sysctl:
"
[...]
Notes
Please note that modules loaded after sysctl is run may override the settings (example: sunrpc.* settings are overridden when the sunrpc module is loaded). This may cause some confusion during boot when the settings in sysctl.conf may be overriden. To
prevent such a situation, sysctl must be run after the particular module is loaded (e.g., from /etc/rc.d/rc.local or by using the install directive in modprobe.conf)
[...]
"

mais bon, ton cas n'a peut-être rien à voir...

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le module dont il est question est nf_conntrack.
J'ignore comment il est chargé et a fortiori, comment afiner la
configuration de son chargement mais je pense que je vais chercher
dans cette direction.
Peut-être qu'une lecture attentive du contenu de dmesg me confirmera
que l'exécution de sysctl précède le chargement de nf_conntrack ...

À suivre

Le mer. 4 mai 2022 à 22:18, didier gaumet <didier.gaumet@gmail.com> a écrit :

Le mercredi 4 mai 2022 à 11:20:03 UTC+2, Olivier a écrit :

Bonjour,

Pour activer l'accounting de conntrack, j'utilise:
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct

Comment rendre cette commande persistante (ie qu'elle soit
automatiquement lancée au démarrage) ?

J'ai essayé avec un fichier /etc/sysctl.d/foo.conf et le contenu ci-après.
net.ipv4.ip_forward=1
net.netfilter.nf_conntrack_acct=1

J'observe que seule la première ligne produit l'effet escompté:
# sysctl net.ipv4.ip_forward
1
# sysctl net.netfilter.nf_conntrack_acct

0

Je ne vois aucun message d'erreur dans les logs.

Slts

Je n'ai jamais manipulé cette variable mais la doc sysctl me pousse à me demander si éventuellement ce n'est pas le chargement d'un module particulier qui écrase la valeur d'une variable préalablement correctement alimentée par la lecture de

sysctl.conf au boot:

extrait de la page man sysctl:
"
[...]
Notes
Please note that modules loaded after sysctl is run may override the settings (example: sunrpc.* settings are overridden when the sunrpc module is loaded). This may cause some confusion during boot when the settings in sysctl.conf may be overriden. To

prevent such a situation, sysctl must be run after the particular module is loaded (e.g., from /etc/rc.d/rc.local or by using the install directive in modprobe.conf)

[...]
"

mais bon, ton cas n'a peut-être rien à voir...

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le jeudi 5 mai 2022 à 13:20:03 UTC+2, Olivier a écrit :

Le module dont il est question est nf_conntrack.
J'ignore comment il est chargé et a fortiori, comment afiner la configuration de son chargement mais je pense que je vais chercher
dans cette direction.
Peut-être qu'une lecture attentive du contenu de dmesg me confirmera
que l'exécution de sysctl précède le chargement de nf_conntrack ...

tu pourrais peut-être essayer de créer un fichier /etc/modprobe.d/nf_conntrack.conf contenant seulement cette ligne:
install nf_conntrack /usr/sbin/sysctl -p /etc/sysctl.d/foo.conf
pour voir si ça améliore les choses

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le fichier avec 'install nf_conntrack /usr/sbin/sysctl -p /etc/sysctl.d/foo.conf' n'a pas fonctionné:
il empêche indirectement la création de /proc/net/nf_conntrack.

J'avais auparavant, sans succès et au pif, essayé
options nf_conntrack nf_conntrack_acct=1


Comment est chargé nf_conntrack ?
Quels fichiers de log consulter pour observer ce chargement ?
Est-il possible de configurer la façon dont nf_conntrack est chargé ?

Le jeu. 5 mai 2022 à 14:36, didier gaumet <didier.gaumet@gmail.com> a écrit :

Le jeudi 5 mai 2022 à 13:20:03 UTC+2, Olivier a écrit :

Le module dont il est question est nf_conntrack.
J'ignore comment il est chargé et a fortiori, comment afiner la configuration de son chargement mais je pense que je vais chercher
dans cette direction.
Peut-être qu'une lecture attentive du contenu de dmesg me confirmera
que l'exécution de sysctl précède le chargement de nf_conntrack ...

tu pourrais peut-être essayer de créer un fichier /etc/modprobe.d/nf_conntrack.conf contenant seulement cette ligne:
install nf_conntrack /usr/sbin/sysctl -p /etc/sysctl.d/foo.conf
pour voir si ça améliore les choses

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le vendredi 06 mai 2022 à 18:32 +0200, Olivier a écrit :
[...]

Comment est chargé nf_conntrack ?
Quels fichiers de log consulter pour observer ce chargement ?
Est-il possible de configurer la façon dont nf_conntrack est chargé ?

- Je ne sais pas trop comment ça marche, je *suppose* que c'est udev qui déclenche le chargement du module (mais ne me crois pas sur parole, hein, je n'y connais quasiment *rien*)

- possiblement en jouant avec les options de modinfo et de journalctl pour avoir plus de détails et en croisant les deux flots d'information ainsi obtenus, tu pourrais obtenir des infos

- *a priori* modifier le chargement du module conntrack s'obtiendrait justement par la création d'un fichier tel que celui que je t'ai suggéré, avec une ligne "install" (cf la manpage de modprobe.d).
Au lieu de la ligne "install" tu peux essayer une ligne telle que celle-ci: options nf_conntrack net.netfilter.nf_conntrack_acct = 1
(je n'ai aucune idée si ça peut marcher)

- et si ce n'est déjà fait, installer les paquets conntrack et surtout conntrackd pour voir si ça va mieux (après reboot), ou les désinstaller dans le cas contraire pour voir ici aussi si ça va mieux.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour Olivier,

Voici quelque compléments d'information, en plus des excellentes
remarques de didier.

didier gaumet, on 2022-05-06:

Le vendredi 06 mai 2022 à 18:32 +0200, Olivier a écrit :
[...]

Comment est chargé nf_conntrack ?
Quels fichiers de log consulter pour observer ce chargement ?
Est-il possible de configurer la façon dont nf_conntrack est chargé ?

- Je ne sais pas trop comment ça marche, je *suppose* que c'est udev qui déclenche le chargement du module (mais ne me crois pas sur parole, hein, je n'y connais quasiment *rien*)

nf_conntrack n'est pas verbeux au chargement, sinon il aurait
probablement affiché quelque messages dans /var/log/kern.log ou
dmesg. Difficile de dire ce qui cause son chargement, ça
pourrait venir des outils de configuration réseau.

- possiblement en jouant avec les options de modinfo et de journalctl pour avoir plus de détails et en croisant les deux flots d'information ainsi obtenus, tu pourrais obtenir des infos

`modinfo nf_conntrack` va effectivement rapporter les options
qui peuvent être passées au chargement du module. L'option
intéressante est "acct".

- *a priori* modifier le chargement du module conntrack s'obtiendrait justement par la création d'un fichier tel que celui que je t'ai suggéré, avec une ligne "install" (cf la manpage de modprobe.d).
Au lieu de la ligne "install" tu peux essayer une ligne telle que celle-ci: options nf_conntrack net.netfilter.nf_conntrack_acct = 1

(je n'ai aucune idée si ça peut marcher)

Je viens de tester sur une machine virtuelle, et en fait, ce qui
passe chez moi c'est :

# /etc/modprobe.d/nf_conntrack.conf
options nf_conntack acct=1

Après son redémarrage, j'ai bien l'accounting démarré sans
encombres :

$ cat /proc/sys/net/netfilter/nf_conntrack_acct
1

- et si ce n'est déjà fait, installer les paquets conntrack et surtout conntrackd pour voir si ça va mieux (après reboot), ou les désinstaller dans le cas contraire pour voir ici aussi si ça va mieux.

En espérant que ça aide,
Bonne journée, :)
--
Étienne Mollier <emollier@emlwks999.eu>
Fingerprint: 8f91 b227 c7d6 f2b1 948c 8236 793c f67e 8f0d 11da
Sent from /dev/pts/2, please excuse my verbosity.
On air: Steve Morse Band - V.H.F. (Vertical Hair Factor)

-----BEGIN PGP SIGNATURE-----

iQIzBAABCgAdFiEEj5GyJ8fW8rGUjII2eTz2fo8NEdoFAmJ1aoYACgkQeTz2fo8N EdqCjg//a79BEYLZ1iAbQaC2yuwOytyVD2moK+FGqLmLnLfCPm3k57UuNSgCQOr8 w8gsdhgSOT6J4bgl7znSusHH/ii1Yo3lml1gtuNxEaCb9q7W7AoO0U5myJ2ryxG6 QAnQsvrP/aiyVYkfM7RQ70ne+dUQ++4dLk0e3OaK2uXbryVaAq2HcqSQdxkftiRk s3snBh5OUnTAMqNudTPqfV35I2gcoqk4BaY29a9EujWiTyxOQN0g9p5y0cmM7rII gbs9wKpbJcbjyZfNQuM4YsfyRwOaOL1LuHR2V1vo6RR33i+jGiEjv02VO3EhPrbp r8baAw/TbiNAdgnkR80d/RYPVcMuVktUHn9T0nzqsFiQu47rT+6k7vCX2V3D043C HuYLw4cRFsGJ8lREk4hDhF0D0Akl4m3b1i0FccSk7UuE235tBwo8pEYxktZSt6E0 bVVPi8Wmg8fiiJOal1pU1xt+smE1gnLlkFNjrafrF75bySABrRMQmr9Ci2axlGIs kDc80wEnyy63D7cPhGRpEhLNYa+F0Dh4e+KxyMCQOA+INq+7L76Ov4CzafmgMG42 SAyNEqmlhjoestH+y6C3v/zadc3/Z7RniUi4PZQm9ZKBcKeA7PxsZwIvlMSW3XeM +VXswrcNvorTrKYyejgQ7ekHtMuAB6w1F1RV+ZXgZ

Salut,

Je pense que tu dois mentionner explicitement au noyau de charger ce
module au démarrage. Pour cela, il faut ajouter simplement

nf_conntrack_acct

au fichier /etc/modules

s

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le vendredi 6 mai 2022 à 20:40:03 UTC+2, Étienne Mollier a écrit :

[...]

Je viens de tester sur une machine virtuelle, et en fait, ce qui
passe chez moi c'est :

# /etc/modprobe.d/nf_conntrack.conf
options nf_conntack acct=1

[...]

GRRR... C'est toi qui gagnes le paquet de cacahuètes offert par Olivier pour la résolution de son problème ;-)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)