von beginn an bestand ein problem mit haengenden verbindungen in den xen domainen. ssh oder ftp verbindungen brachen gelegentlich ab, ohne einen hinweis in den logfiles zu hinterlassen. nachdem ich am heutigen vormittag das problem dann genauer untersucht habe und probleme mit der glibc ausschliessen konnte, richtete ich mein augenmerk auf die firewall. und tatsaechlich verschwand das problem, wenn iptables nicht im spiel war. also befragte ich wieder google und fand einen hinweis auf ip_conntrack_tcp_be_liberal. ab dem 2.6.9 kernel scheint neuer code fuer das tcp window handling hinzu gekommen zu sein, der sich leider nicht mit iptables vertraegt. wenn diese funktion im kernel abgeschaltet ist, arbeitet das system wieder fehlerfrei. :)