kernel: ip_conntrack: table full, dropping packet.

解决方法:

1. 更改ip_conntrack大小

# /etc/sysctl.conf

Centos5.x:

modprobe ip_conntrack

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=10800

sysctl -w net.ipv4.netfilter.ip_conntrack_max=655350

Centos6.x:

nf_conntrack_ipv4

sysctl -w net.netfilter.nf_conntrack_max=655350

sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800

# sysctl -p使其生效

重新应用规则时会清空已经加载的模块,因此每次iptables重启后,都要执行一遍sysctl -p,ip_conntrack满的隐患还是存在的。

2. 不加载ip_conntrack/nf_conntrack模块

修改 /etc/sysconfig/iptables-config配置文件

# vim /etc/sysconfig/iptables-config

IPTABLES_MODULES=""

/etc/sysconfig/iptables 不要配置状态的规则, 如:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEP

时间: 2024-10-13 07:44:16

kernel: ip_conntrack: table full, dropping packet.的相关文章

kernel nf_conntrack: table full, dropping packet 解决办法

今天通过zabbix监控发现,有一台服务器出现网络不稳定,zabbix图像断流,随之,登录服务器经过排查,发现/var/log/messages中出现大量kernel nf_conntrack: table full, dropping packet . 解决方法如下. 对ip_conntrack的两个参数进行设置即可,不过在centos上,需要这样设置: centos5 1 2 3 4 5 vi /etc/sysctl.conf net.ipv4.netfilter.ip_conntrack_

ip_conntrack table full dropping packet解决方案

在一台繁忙的服务器上,建议关闭ip_conntrack模块的加载: 当我们开启iptables后,会有这么个现象发生,丢包.ping的话会断断续续的丢包,ifconfig 会看到网卡dropped:XXX一直在增加,messages日志有以下内容: ip_conntrack表满导致的,iptables开启后会加载ip_conntrack模块,来跟踪包.默认情况下ip_conntrack_max大小为65536. iptables导致ftp列表失败一例参见:pureftp读取目录列表失败解决 查看

ip_conntrack table full dropping packet错误的解决方法

ip_conntrack表满导致的,iptables开启后会加载ip_conntrack模块,来跟踪包.默认情况下ip_conntrack_max大小为65536. 查看ip_conntrack最大大小: # cat /proc/sys/net/ipv4/ip_conntrack_max 查看当前ip_conntrack大小: wc -l /proc/net/ip_conntrack 解决方法:更改ip_conntrack大小 # /etc/sysctl.conf net.ipv4.netfil

table full, dropping packet.

系统日志/var/log/messages出现以下内容 Jan 31 16:46:41 ahmobileblivemedia02 kernel: nf_conntrack: table full, dropping packet. Jan 31 16:46:41 ahmobileblivemedia02 kernel: nf_conntrack: table full, dropping packet. Jan 31 16:46:41 ahmobileblivemedia02 kernel: n

linux云主机cpu一直很高降不下来,系统日志报nf_conntrack: table full, dropping packet.

在启用了iptables web服务器上,流量高的时候经常会出现下面的错误: ip_conntrack: table full, dropping packet 这个问题的原因是由于web服务器收到了大量的连接,在启用了iptables的情况下,iptables会把所有的连接都做链接跟踪处理,这样iptables就会有一个链接跟踪表,当这个表满的时候,就会出现上面的错误. iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max,链接碰到各种状

nf_conntrack: table full, dropping packet解决方法

在添加magent代理后,做memcached测试的发现,如果并发很高,数据库的连接数居高不下,按理讲随着将key存入缓存中,连接数应该慢慢降下来才对,但是当并发低的时候却很正常. 由于在启动memcached时,加入了-vvv参数打印内部状态信息,查看日志: 29: going from conn_parse_cmd to conn_write 29: going from conn_write to conn_new_cmd 29: going from conn_new_cmd to co

[转]nf_conntrack: table full, dropping packet 连接跟踪表已满,开始丢包 的解决办法

nf_conntrack: table full, dropping packet  连接跟踪表已满,开始丢包 的解决办法 中午业务说机器不能登录,我通过USM管理界面登录单板的时候发现机器没有僵死,然后一看日志,g一下子就明白了 tail -2000 /var/log/messages Apr 10 12:48:35 bj-push-pushserver83 kernel: [95129.138804] __ratelimit: 16523 callbacks suppressed (“连接跟

nf_conntrack: table full, dropping packet 解决方案

"连接跟踪表已满,开始丢包"!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间.此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一.关闭防火墙. 简单粗暴,直接有效 chkconfig iptables off  chkconfig ip6tables off  service iptables stop  service ip6tables

解决nf_conntrack: table full, dropping packet问题

echo "6553500" > /proc/sys/net/nf_conntrack_max iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK iptables -t raw -A OUTPUT -p tcp -m tcp --dport 80 -j NOTRACK 原理:http://jerrypeng.me/2014/12/08/dreadful-nf-conntrack-table-full