ip_conntrack: table full, dropping packet

xuledw

问题基本解决
编辑/etc/modprobe.conf这个文件增加了options ip_conntrack hashsize=65536之后
# vi /etc/modprobe.conf
options ip_conntrack hashsize=65536

重启防火墙
# /etc/init.d/iptables stop
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
# ./iptables.sh
再次观看已经修改过来了
# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets
65536
http://vnull.pcnet.com.pl/tmp/netfilter_conntrack_perf.txt

iteeqg

解決方法 (1): 加大 ip_conntrack_max 值

    查出原本的 ip_conntrack_max 值:
    指令: cat /proc/sys/net/ipv4/ip_conntrack_max

    寫入理想的數值 (每一個 ip_conntrack buffer 會佔用 292 Bytes)
    指令: echo "數值" > /proc/sys/net/ipv4/ip_conntrack_max
    例如: echo "81920" > /proc/sys/net/ipv4/ip_conntrack_max
    這個效果是暫時的, 如果要每次開機都使用新的數值, 需將上述指令寫入 /etc/rc.d/rc.local
    或是在 /etc/sysctl.conf 加入: net.ipv4.ip_conntrack_max = 數值
    或使用指令: sysctl -w net.ipv4.ip_conntrack_max=數值

解決方法 (2): 降低 ip_conntrack timeout 時間

    重設 ip_conntrack_tcp_timeout_established (原值: 432000, 單位: 秒)
    指令: echo "數值" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    例如: echo "600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established


楼主试试