nf_conntrack: table full, dropping packet
Jeden webserver určený hlavně k cachování obrázků mi začal “lagovat”. Podíval jsem se do logu (/var/log/messages) a tam objevil “nf_conntrack: table full, dropping packet”. Tato magická věta se mi nedala spát a trošku jsem pátral a našel řešení. Nejdříve je nutné zjistit, kolik spojení máte povoleno.
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
65536
Takže je povoleno max 65536 v conntrack tabulce. Změnu provedete jednoduše
echo "131072" > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
A stačí již jen ověřit, zda to hodnotu přijalo
beta:/var/log# sysctl -p
net.ipv4.tcp_syncookies = 1
net.ipv4.netfilter.ip_conntrack_max = 131072
Server se mi znatelně urychlil a hlášení z logu zmizely. Nicméně se mi tam stále objevují ještě jiné potvůrky:
Jan 23 22:58:30 Beta kernel: [161748.974581] TCPv6: Possible SYN flooding on port 80. Sending cookies.
… na to mrknu později, pokud mi někdo nedá tip :D
Děkuji vám za tento článek, díky němuž jsem objevil vaše stránky velmi zajímavé. Těšíme se na čtení znovu