LINUX.ORG.RU
ФорумAdmin

ip_conntrack: table full, dropping packet.


0

0

вот такая вот бяка творится в dmesg, и при этом отваливается апач, в гугл просьба не посылать, посколько увеличение net.ipv4.ip_conntrack_max никакого результата не дает:

# cat /proc/sys/net/ipv4/ip_conntrack_max

262144

#cat /proc/net/ip_conntrack | wc -l

2280

машина нормально работает около суток, а потом начинается эта гадость.

★★★★★

какой ядро? в 2.6. чистом траблы с коннекшн трекингом перманентные.

anonymous
()
Ответ на: комментарий от borisych

Смотри трафик tcpdump'ом --- много, но надо разобратся, от чего переполняется таблица... Просто если это роутер, а за ним сидит MS-Blast, сканирующий все по udp, то conntrack и будет переполнятся.

Если роутер, то можно накатить патч connlimit и врубить его, скажем 150 соединений с одного ip вполне хватает.

Если определить, какой трафик вызывает переполнение, можно рубить его с помощью iptables (в PREROUTING, таблица mangle).

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.