kernel: ip_conntrack: table full, dropping packet问题请教

xuledw

apache web服务器 日志报kernel: ip_conntrack: table full, dropping packet
内核参数配置如下：关于可能引起这个报错的内核修改如下：
net.ipv4.ip_conntrack_max = 462144
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 900
可现在内核依然偶尔会报这个
统计了下 web压力比较大的情况下
# wc -l /proc/net/ip_conntrack
66256 /proc/net/ip_conntrack
$ sudo /sbin/sysctl -p
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 52768
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_conntrack_max = 462144
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 900
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1800

xuledw

说明下：刚开始这个参数30000后来调大，报错频率降低，但是还会出现
netdev_max_backlog
该文件指定了，在接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目

xuledw

wc -l /usr/local/apache/logs/access_log.2010-03-26
1450034 /usr/local/apache/logs/access_log.2010-03-26
这个今天到12点钟的PV

johnyo

如果不必要，可以把iptable的服务关闭掉或者重新检查一下iptable的设置。

xuledw

iptables是不能关闭的 我贴下iptables-save
一般如果当时遇到问题，确实是iptables restart可以解决
综合看来还是iptables这块有些异常
$ sudo /sbin/iptables-save
# Generated by iptables-save v1.3.5 on Fri Mar 26 13:44:03 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [41504249:18751955160]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A RH-Firewall-1-INPUT -s 172.168.0.0/255.255.255.0 -i eth0 -j DROP
-A RH-Firewall-1-INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 8933 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 9030 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 9033 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 9032 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 9820 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

xuledw

麻烦各位帮忙看看这个防火墙那里有问题，是否需要优化 谢谢
631这个可以关闭了 是打印的
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
这两个删除了