Исправление vel, (текущая версия) :
гм. а «conntrack -C» сколько в это время показывает ?
в dmesg нет ругани ?
А pps в это время какой ? Не ddos ли это...
можно попробовать увеличить net.netfilter.nf_conntrack_buckets
Если не поможет, то пытаться перенастраивать rps
PS
Почему бы не сократить адскую простыню из строк
A dnat_post .......... -j SNAT --to-source 172.19.0.6A dnat_post -m set --match-set snat06 dst,dst -j SNAT --to-source 172.19.0.6А «ipset snat06» перечислить все, что нужно натить
ipset create snat06 hash:ip,port
ipset add snat06 172.19.0.1,80
ipset add snat06 172.19.0.1,443
ipset add snat06 10.194.123.7,tcp:6036
ipset add snat06 10.194.123.7,tcp:6037
ipset add snat06 10.194.123.7,tcp:6038
ipset add snat06 10.194.123.7,tcp:6039
......Исходная версия vel, :
гм. а «conntrack -C» сколько в это время показывает ?
в dmesg нет ругани ?
А pps в это время какой ? Не ddos ли это...
net.netfilter.nf_conntrack_buckets видимо нужно увеличить
PS
Почему бы не сократить адскую простыню из строк
A dnat_post .......... -j SNAT --to-source 172.19.0.6A dnat_post -m set --match-set snat06 dst,dst -j SNAT --to-source 172.19.0.6А «ipset snat06» перечислить все, что нужно натить
ipset create snat06 hash:ip,port
ipset add snat06 172.19.0.1,80
ipset add snat06 172.19.0.1,443
ipset add snat06 10.194.123.7,tcp:6036
ipset add snat06 10.194.123.7,tcp:6037
ipset add snat06 10.194.123.7,tcp:6038
ipset add snat06 10.194.123.7,tcp:6039
......