Conntrack

2116 это ниочём, по сравнению с обычными значениями на серверах/маршрутизаторах. Если бы таблица conntrack переполнялась, были бы сообщения в dmesg. Там что-то есть?

сервер начинает долго откликаться

На ping'и или долго грузятся страницы сайта?

Спасибо что откликнулись.

2116 это ниочём

__ratelimit: 361 callbacks suppressed
dst cache overflow

cat /proc/sys/kernel/printk_ratelimit

30

cat /proc/sys/kernel/printk_ratelimit_burst

200

Попробуй сбросить табличку командой

sudo conntrack -F

и посмотри, помогло ли.

dst cache overflow

Это переполнение кеша маршрутов. Проверьте, что в кеше маршрутов действительно много записей
″ip -o route show cache | wc -l″.
Посмотрите/увеличте число /proc/sys/net/ipv4/route/max_size .

Возможно, что идёт скан портов с разных адресов, ядро отпинывает коннекты, поэтому в conntrack'е их немного, но в кеш маршруты попадают. В принципе, в отличии от conntrack, переполнение кеша маршрутов не должно вести к потери пакетов, а только к задержкам (промах в кеше, вычисление маршрута заново). ИМХО, может помочь переодическая полная очистка кеша маршрутов ″ip route flush cache″, для работающих соединений маршруты определятся заново и попадут в кеш.

cat /proc/sys/net/ipv4/route/max_size

4194304

ip -o route show cache | wc -l

0

Кстати, извините, забыл сказать. Проблема наблюдается только в определенное время.

Не знаю, какая у вас версия ядра, но так не бывает. Либо кеш маршрутов существует и не пустой, либо (начиная с 3.6) его нет, но и сообщения ″dst cache overflow″ нет.

2.6.32-5-amd64 #1 SMP Sun Sep 23 10:07:46 UTC 2012 x86_64 GNU/Linux

Сервер работал год, перезагрузил, сейчас посмотрю что будет.