ip_conntrack table full dropping packet解决方案-白红宇

ip_conntrack table full dropping packet解决方案

阅读量：7078 次

发布时间：2019-06-28

本文共 2034 字，大约阅读时间需要 6 分钟。

在一台繁忙的服务器上，建议关闭ip_conntrack模块的加载；

当我们开启iptables后，会有这么个现象发生，丢包。ping的话会断断续续的丢包，ifconfig 会看到网卡dropped：XXX一直在增加，messages日志有以下内容：

ip_conntrack表满导致的，iptables开启后会加载ip_conntrack模块，来跟踪包。默认情况下ip_conntrack_max大小为65536。

iptables导致ftp列表失败一例参见：

查看ip_conntrack最大大小：

# cat /proc/sys/net/ipv4/ip_conntrack_max

1	# cat /proc/sys/net/ipv4/ip_conntrack_max

查看当前ip_conntrack大小：

# wc -l /proc/net/ip_conntrack

1	# wc -l /proc/net/ip_conntrack

解决方法：

1. 更改ip_conntrack大小

# /etc/sysctl.conf net.ipv4.netfilter.ip_conntrack_max = 6553600 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 12 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 # sysctl -p 使其生效

# /etc/sysctl.conf

net.ipv4.netfilter.ip_conntrack_max = 6553600

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 12

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

# sysctl -p 使其生效

这种解决方案，需要在每次iptables重启后，都要执行一遍sysctl -p，也可以将sysctl -p写入到iptables启动脚本中。不过ip_conntrack满的隐患还是存在的。

2. 不加载ip_conntrack模块

修改 /etc/sysconfig/iptables-config配置文件

# vim /etc/sysconfig/iptables-config IPTABLES_MODULES=""

1 2	# vim /etc/sysconfig/iptables-config IPTABLES_MODULES=""

/etc/sysconfig/iptables 不要配置状态的规则, 如：

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

1	-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

设置了这些后，如果有设置方案1中内核参数，执行sysctl -p会报以下错误的：

error: "net.ipv4.netfilter.ip_conntrack_max" is an unknown key

error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established" is an unknown key

error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait" is an unknown key

error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait" is an unknown key

error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait" is an unknown key

这种情况是因为没有加载ip_conntrack模块导致的。这不正是我想要的么？

来看下是否加载了ip_conntrack模块：

推荐使用方案2。

转载地址：http://pqdml.baihongyu.com/

你可能感兴趣的文章

【BIEE】11_BIEE图形报表在谷歌浏览器64.0.3282.140中访问图例乱码解决