nf_conntrack: table full, dropping packet

这是iptables的报错信息“连接跟踪表已满,由于iptables会记录每个连接的跟踪信息,而连接关闭关闭过于频繁导致连接跟踪表满,出现丢包。

解决方法:

首先将memcached的连接方法改为长链接,然后再针对nf_conntrack进行修改,主要有以下几种方式:

1.关闭防火墙

chkconfig iptables off 
chkconfig ip6tables off 
service iptables stop 
service ip6tables stop

注意:在防火墙关闭的状态下,不要使用iptables -L -vnx来查看状态!因为这样会导致防火墙被启动,而且规则为空。虽然不会有任何拦截效果,但所有连接状态都会被记录,浪费资源且影响性能并可能导致防火墙主动丢包!

2.加大iptables跟踪表大小,调整对应的系统参数

3.使用裸表,不添加跟踪标志

4.删除连接跟踪模块

具体的修改过程请参考 http://www.linuxidc.com/Linux/2015-06/118685.htm ,这里说的比较详细。


zabbix 监控:


UserParameter=nf_conntrack,printf $((`cat /proc/sys/net/netfilter/nf_conntrack_count`\*100/`cat /proc/sys/net/netfilter/nf_conntrack_max`))



2.修改/etc/sysctl.conf中ip_conntrack的值

net.netfilter.nf_conntrack_max = 655350  #设置最大跟踪连接数655350,该设置会增大内存开销。

net.netfilter.nf_conntrack_tcp_timeout_established = 300 #设置跟踪连接保存5小时。

Pingbacks已打开。

引用地址

评论
  1. KimGal KimGal 发布于 2021年3月9日 01:51 #

    <a href="https://sildenafiled.com/">price of real viagra</a>

发表评论