CentOS7: kernel:nf_conntrack:expactation table full 引发的问题

已于 2022-08-01 17:28:02 修改
阅读量657 收藏
点赞数
分类专栏: linux 文章标签: linux
于 2022-08-01 17:23:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenyulancn/article/details/126105458
版权

    生产中遇到了如标题中的错误,导致生产停摆,阻碍了上线进程. 知识盲区导致的问题,不得不交的学费......

     网上大多是 nf_conntrack: table full, dropping packet 这个错误,修改方法我不在赘述大同小异.只是nf_conntrack_max这个值生产环境之前已经修改了且很大,问题不是出在这个设置上. 后经过一顿测试验证搞清楚了,忽略了另外一个值---nf_conntrack_expect_max的修改. 该值默认值1024,远小于nf_conntrack_max设置的值.

      简单但不太准确理解这俩参数的关系:  nf_conntrack_expect_max 优先级高于 nf_conntrack_max. 所以这俩参数值的关系应该是 nf_conntrack_expect_max >= nf_conntrack_max,至与大多少合适目前没有相关经验,敬请高人指点.

高人描述二者的关系: 

chenyulancn
关注
专栏目录
案例篇:如何优化 NAT 性能?(下)
echohuangshihuxue的博客
08-28 852
上一节,我们学习了 NAT 的原理,明白了如何在 Linux 中管理 NAT 规则。先来简单复习一下。NAT 技术能够重写 IP 数据包的源 IP 或目的 IP,所以普遍用来解决公网 IP 地址短缺的问题。它可以让网络中的多台主机,通过共享同一个公网 IP 地址,来访问外网资源。同时,由于 NAT 屏蔽了内网网络,也为局域网中机器起到安全隔离的作用。Linux 中的NAT ,基于内核的连接跟踪模块实现。所以,它维护每个连接状态的同时,也对网络性能有一定影响。
conntrack-tools-1.4.4-7.el7.x86_64.rpm
06-25
conntrack-tools-1.4.4-7.el7.x86_64。这个包适合centos 7使用,使用rpm -ivh 安装就行。
出现nf_conntrack: expectation table full提示问题
wgl307293845的博客
11-09 2622
问题描述 修改了FullCone Nat之后,出现nf_conntrack: expectation table full 解决方案 echo 512 > /proc/sys/net/netfilter/nf_conntrack_expect_max 注意: nf_conntrack_expect_max这个值根据系统内存大小设置,内存足够大可以设置相对较大一些,内存太小可以选择128或者256 ...
CV大法即可部署k8s(基于centos7)
最新发布
weixin_72190933的博客
07-29 747
CentOS 7+Docker+Kubernetes(k8s),cv大法即可部署完成
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 5911
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
linux 网络错误 nf_conntrack: table full, dropping packet. 路由跟踪表满
whatday的专栏
02-18 1025
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tab...
centos7 加载ip_conntrack
weixin_33849215的博客
03-30 2594
命令:modprobe ip_conntrack 转载于:https://blog.51cto.com/314258/2371672
nf_conntrack详解
weixin_34262482的博客
07-30 6082
2019独角兽企业重金招聘Python工程师标准>>> ...
CentOS7系统基本配置及线上优化
崂山啤酒加冰的博客
07-11 1218
CentOS7系统基本配置及优化 一、磁盘选择和分区规范 - 磁盘选择(这里只介绍常用的几种组合) 系统盘:raid1 数据盘:raid5/raid1/raid10 raid 1 又称镜像Mirroring 2的n次方块 利用率50% 读写性能没有提高 有备份,安全性高 raid5 最少三块 利用率 n-1 读写速度快 交替完成 两块硬盘分别写入数据 另外一块当校验盘,安全性高 可...
linux内核网络参数,Linux 常用内核网络参数介绍与相关问题
weixin_34118050的博客
05-01 1057
Linux 常用内核网络参数介绍与相关问题Linux 内核中关于网络的相关参数进行简要介绍。然后对常见相关问题的处理进行说明。Liunx 常见网络参数介绍下表是常见网参数的介绍:参数 描述net.core.rmem_default 默认的TCP数据接收窗口大小(字节)。net.core.rmem_max 最大的TCP数据接收窗口(字节)。net.core.wmem_default 默...
52.第十三章 Linux防火墙 -- iptables(二)
Raymond的博客
01-24 149
3.3 iptables 基本匹配条件 基本匹配条件:无需加载模块,由iptables/netfilter自行提供 [!] -s, --source address[/mask][,...]:源IP地址或者不连续的IP地址 [!] -d, --destination address[/mask][,...]:目标IP地址或者不连续的IP地址 [!] -p, --protocol protocol:指定协议,可使用数字如0(all) protocol: tcp, udp, icmp, icmpv6, udp
linux 路由跟踪表满错误 nf_conntrack: table full, dropping packet 原理解决方法
whatday的专栏
04-01 6605
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该“足够好”,其实不是。默认参数面向“通用”服务器,不适用于连接数和访问量比较多...
kernel: nf_conntrack: table full, dropping packet解决办法
记录,总结,成长
04-04 2705
http://blog.sina.com.cn/s/blog_541a3cf10101b3bj.html 昨天上线cache后,防火墙高峰报道2W5有些不对劲,检查系统日志发现 Sep  6 18:05:07 localhost kernel: nf_conntrack:table full, dropping packet. Sep  6 18:19:13 localh
linux messages日志出现kernel: nf_conntrack: table full, dropping packet
dbi8241的博客
06-01 443
上述结果会让业务访问很慢!各种网络服务耗时大幅上升,各种timeout,各种丢包,完全无法正常提供服务,大并发业务场景下,开防火墙很容易出现这种问题. 解决方法1:关闭分防火墙服务 解决方法2:修改内核参数/etc/sysctl.conf net.nf_conntrack_max= 25000000 net.netfilter.nf_conntrack_max= 2500000...
运维问题.Docker.kernel: nf_conntrack: table full,drop?
chunnidong6528的博客
06-22 499
事故前提 1.线上docker的data文件未做重定向,导致根目录撑爆,无奈重启释放内存中数据 2.线上docker容器alc服务器需要维持10万个会话连接 3.nf_conntrack表爆满,随即切换至host,关闭服务器防火期,关闭net.ipv4.ip_forward=0 问...
iptables 报错 kernel: nf_conntrack: table full, dropping packet.
my_bai的博客
05-09 539
如果日志报错 nf_conntrack: table full, dropping packet 1.不使用 nf_conntrack 模块 首先要移除 state 模块,因为使用该模块需要加载 nf_conntrack。确保 iptables 规则中没有出现类似 state 模块的规则,如果有的话将其移除: -A INPUT -m state –state RELATE
[网络子系统] linux-2.6.35.6 nf_conntrack
Denallo的专栏
12-15 2740
原帖地址:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4082396&fromuid=29353251 最近在整理以前的笔记,在Godbach的鼓励下,准备写一个有关nf_conntrack的总结。与之前写的iptables算是姐妹篇,因为iptables和nf_conntrack应该算是netfilter中比较重要的两个模
如何解决系统报错:nf_conntrack: table full, dropping packets
n9ecommunity的博客
06-12 1279
如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了,就说明快满了,需要调大 nf_conntrack_max。为了缓解大量连接的问题,您可能还需要考虑减少服务器等待连接关闭/超时的时间。这说明系统接到了大量的连接请求,但是系统的连接跟踪表已经满了,无法再记录新的连接了。显然,调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接,意味着要耗费更多资源,这点要注意。如果流量比较小,这个值是没问题的,但如果流量巨大,这个值可能就有点太小了。catpaw 的入门使用,可以参考文章:《
nf_conntrack: table full, dropping packet
工具人的博客
07-01 485
系统连接数高的时候,机子出现掉包,查看日志发现报错,nf_conntrack: table full, dropping packet,解决办法就是调整参数。 有的人建议关闭防火墙,但是对于linux来说,iptables就是一个命令好像没有关闭开启之说。 这里采取调整参数的方式进行调优。 查看相关参数 sysctl net.netfilter.nf_conntrack_max 可以查看当前值 sysctl net.netfilter.nf_conntrack_count 可以查看tracking ta
CentOS 7安装GCC解决cc:未找到命令问题
"该文档是关于在CentOS 7系统中解决`cc: 未找到命令`错误的教程,主要涉及编译环境的搭建,特别是安装GCC编译器的步骤。" 在Linux CentOS 7环境下,`cc: 未找到命令`的错误通常意味着系统中没有预装GCC(GNU ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值