kernel nf_conntrack: table full, dropping packet

2016-10-31

“连接跟踪表已满,开始丢包”!

状态跟踪表的最大行数的设定,理论最大值 CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32) 

   以64G的64位操作系统为例,CONNTRACK_MAX = 64*1024*1024*1024/16384/2 = 2097152 

1、直接生效

sysctl –w net.netfilter.nf_conntrack_max = 2097152

2、或者

vi /etc/sysctl.conf

net.netfilter.nf_conntrack_max = 2100000

sysctl -p

3、运行状态中通过 sysctl net.netfilter.nf_conntrack_buckets 进行查看,通过文件 /sys/module/nf_conntrack/parameters/hashsize 进行设置

新建 /etc/modprobe.d/iptables.conf

重新加载模块才生效:

options nf_conntrack hashsize = 262144

4、内核版本过老的用ip_conntrack_max

vi /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max = 655350
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1200

4、sysctl -a | grep nf_conntrack

 options nf_conntrack hashsize = 262144
分类:Linux | 标签: |

相关日志

评论被关闭!