nf_conntrack переполняется!

0

2

Имеется сервер:
uname -a
Linux 2.6.32-32-server #62-Ubuntu SMP Wed Apr 20 22:07:43 UTC 2011 x86_64 GNU/Linux

периодически в логах возникает множество сообщений вида:
Jan 8 15:33:15 kernel: [734418.745410] nf_conntrack: table full, dropping packet.
сервер становится недоступным многим клиентам

естественно я первым делом увеличил параметр
net.ipv4.netfilter.ip_conntrack_max=65536
в sysctl.conf, применил.

НО! каждые несколько недель этот параметр периодически снова принимает свое исходное значение, причем без перезагрузки сервера...

вопросы:
1. от чего может сбрасываться на дефаулт параметр?
2. что делать чтобы не росло значение?

3. так же замечу что имеется iptables со строкой
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
которое(предполагаю) и забивает со временем таблицу трекинга...
как должен выглядеть firewall на hiload сайте, чтобы не было вышеозвученной проблемы?

Ссылка

←	[/usr][systemd][криокамера][Partition'о-тред #2] /usr и/или /var в отдельном разделе

iptables in Virtual Machine Manager

→

А нафига вообще тебе на голом http нужен conntrack?

Впрочем, если действительно нужен, то таймауты поуменьшать...

thesis ★★★★★
(08.01.12 16:01:34 MSK)

Ответ на: комментарий от thesis 08.01.12 16:01:34 MSK

если не ошибаюсь то connection tracking автоматом используется при iptables ESTABLISHED, RELATED

если отключить то например с сайта перестанет работать:
apt, whois, dns запросы и т.п. -уйти то запросы уйдут
а вот ответные пакеты будут заблокированы.

neomag
(08.01.12 16:20:41 MSK) автор топика

Ответ на: комментарий от neomag 08.01.12 16:20:41 MSK

Здесь есть два возможных пути:
1. рассылать запросы с отдельного IP
2. тупо разрешить все входящие пакеты на непривилегированные порты.

thesis ★★★★★
(08.01.12 16:41:14 MSK)

Ссылка

65536 это кагбе маловато.

/etc/sysctl.conf

net.netfilter.nf_conntrack_max=1048576

/etc/modules

nf_conntrack hashsize=524288

Только как вам уже сказали - скорее всего трекинг вам вообще не нужен и нужно просто правильно правила написать.

ventilator ★★★
(08.01.12 16:41:46 MSK)

Ссылка

спасибо, подумаю,

но более всего интересует почему периодически значение
net.ipv4.netfilter.ip_conntrack_max
становится дефоултным, без перезагрузки сервера...

neomag
(08.01.12 16:58:16 MSK) автор топика

Ответ на: комментарий от neomag 08.01.12 16:58:16 MSK

а вы модуль не выгружаете?

ventilator ★★★
(08.01.12 17:15:09 MSK)

Ответ на: комментарий от neomag 08.01.12 16:58:16 MSK

Поверхностный гуглёж приводит нас вот сюда:
http://bugs.centos.org/view.php?id=4877
то есть, это, вероятно, баг и надо изобретать костыль.
А сервис iptables не перезапускается случаем, нет?

thesis ★★★★★
(08.01.12 17:16:26 MSK)

Ответ на: комментарий от ventilator 08.01.12 17:15:09 MSK

в том то и дело что нет

neomag
(08.01.12 17:33:03 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 08.01.12 17:16:26 MSK

а в убунту таки есть service iptables restart

ventilator ★★★
(08.01.12 17:46:07 MSK)

Ответ на: комментарий от ventilator 08.01.12 17:46:07 MSK

А понятия не имею. К тому же, на момент написания комментария я уже начисто забыл, о каком дистре идет речь. Мне почему-то показалось, что это что-то красношапочное.

thesis ★★★★★
(08.01.12 17:52:33 MSK)

Ссылка

что делать чтобы не росло значение?

подрути таймауты на время жизни правил, по дефолту там очень оптимистичные значения. Если будет отваливаться неактивные ssh-сессии то настрой keepalive.

true_admin ★★★★★
(08.01.12 19:17:18 MSK)