Linux Netfilter 调优

最新推荐文章于 2022-03-06 15:22:05 发布
最新推荐文章于 2022-03-06 15:22:05 发布
阅读量393 收藏
点赞数
文章标签: linux java 运维 nginx 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongxiaolu/article/details/113711488
版权

本文永久链接: https://www.xtplayer.cn/linux/netfilter/linux-netfilter-optimization/

如果您正在为高流量的 Web/DNS 服务器提供服务,并且最近使该服务器 PING 丢失并且并非所有 HTTP 请求都成功。您可以开始检查系统日志。并且如果您看到类似下面的内容,那么下面的指南将帮助您调整 Linux 服务器以正确处理流量负载。

Mar 22 21:25:55 localhost kernel: nf_conntrack: table full, dropping packet.
Mar 22 21:26:00 localhost kernel: printk: 11 messages suppressed.
Mar 22 21:26:00 localhost kernel: nf_conntrack: table full, dropping packet.
Mar 22 21:26:05 localhost kernel: printk: 16 messages suppressed.

状态查看

  • buckets 哈希表大小,max 最大记录的连接条数

    sudo dmesg | grep conntrack

[    8.782060] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

  • 哈希表使用情况

    grep conntrack /proc/slabinfo

nf_conntrack_1       102    102    320   51    4 : tunables    0    0    0 : slabdata      2      2      0

  • 当前跟踪的连接数

    sudo sysctl net.netfilter.nf_conntrack_count

  • 跟踪连接详细信息

    # centos
cat /proc/net/nf_conntrack
# ubuntu,可能需要安装 conntrack 工具,yum install -y conntrack 或者 apt-getinstall -y conntrack
conntrack -L

    最大连接跟踪数

完整文章请访问: https://www.xtplayer.cn/linux/netfilter/linux-netfilter-optimization/

洪晓露
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux netfilter/iptables知识点详解
09-14
在本篇文章里小编给大家整理的是关于Linux netfilter/iptables知识点详解,有兴趣的朋友们可以参考下。
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
大一统的Netfilter-一种Linux防火墙优化方法
totoxian
08-27 871
1.背景 目前,Linux的防火墙是基于Netfilter实现的。Netfilter可谓是无所不能,Netfilter的官网的patch-o-matic-ng补丁中几乎每天都会有更新,都会有更好玩的东西。然而基本上做过测试的都知道,在大量规则存在的情况下,Netfilter会导致网络性能下降,这非常不适合做压力测试。Netfilter的网站上以及内核开发社区或者说各大论坛上的大牛们几乎都在关注功...
Linux内核netfilter子系统ulogd项目性能调优记录
InsZVA的专栏
05-10 875
使用ULOGD打SYSLOG到SYSLOG-NG,当NFLOG拿到的数据包在6K左右时,CPU有两个核心占了15%左右 使用修改过的ULOGD直接打TCP,CPU只有一个核心占15%左右(修改版在https://github.com/InsZVA/ulogd-with-syslog-tcp) 使用perf top查看, 8.89% libc-2.12.so [.
内核参数优化
weixin_30568715的博客
01-17 71
内核参数优化 # vi sysctl.conf 增加以下配置 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1800 net.ipv4.ip_conntrack_max = 16777216 # 如果使用默认参数,容易出现网络丢包 net.ipv4.netfilter.ip_conntrack_max = 16...
Linux服务器内核参数优化
weixin_40470303的博客
06-17 1万+
      所谓Linux服务器内核参数优化(适合Apache、Nginx、Squid等多种web应用,特殊的业务有可能需要做略微调整),主要是指在Linux系统中针对业务服务应用而进行的系统内核参数调整,优化并无一定的标准。下面是生产环境下Linux常见的内核优化为例子进行说明,供大家参考。      优化的方法是执行vim /etc/sysctl.conf命令到文件结尾,然后拷贝如下内容并保存...
linux netfilter 机制分析
09-12
linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析linux netfilter 机制分析
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilter的hook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter...
linux netfilter 实例
10-30
linux netfilter 实例 实现了一个用于阻断给定ip的数据包的功能。
Linux Netfilter 内核参数调优
屈帅波的技术博客
03-06 4802
Netfilterlinux 内在的一个软件框架,用来记录管理网络数据包,Netfilter提供了5个hook 来记录管理网络包。 Netfilter进行包的管理,则需要记录每个连接的状态信息。这就是nf_conntrack的工作内容。 PREROUTING, 所有包都会经过这个hook LOCAL INPUT, 进入本机的包会经过这个hook FORWARD, 不进入本机的包,做转发的包会经过这个hook LOCAL OUTPUT, 从本机出去的包会经过这个hook POSTROUTING, 所.
Linux 跟踪连接netfilter 调优
大JAVA解决方案
04-16 1106
Netfilter介绍 linux内核中的netfilter是一款强大的基于状态的防火墙,具有连接跟踪(conntrack)的实现。conntrack是netfilter的核心,许多增强的功能,例如,地址转换(NAT),基于内容的业务识别(l7, layer-7 module)都是基于连接跟踪。 nf_conntrack模块在kernel 2.6.15(2006-01-0...
netfilter和iptables的实现机制
weixin_33915554的博客
03-31 431
随着计算机网络和Internet普及,计算机很久之前就开始遭受各种入侵了。因此为了阻止入侵,就产生了网络防火墙以及网络数据分析的需求。 而这个netfilter就是在linux系统中来实现防火墙功能。 netfilterLinux 2.4.x引入的一个Linux内核框架,提供一整套的hook函数的管理机制。可以根据动态定义的条件来过滤和操作分组。...
net.nf_conntrack_max 设置异常问题
砚墨
01-17 8536
故障原因 内核参数 net.nf_conntrack_max 系统默认值为”65536”,当nf_conntrack模块被装置且服务器上连接超过这个设定的值时,系统会主动丢掉新连接包,直到连接小于此设置值才会恢复。同时内核参数“net.netfilter.nf_conntrack_tcp_timeout_established”系统默认值为”432000”,代表nf_conntrack的TCP连接记录时间默认是5天,致使nf_conntrack的值减不下来,丢包持续时间长。 nf_conntrack模块在首
系统丢包net.netfilter.nf_conntrack_max 超限查看
weixin_33881140的博客
01-21 1619
sysctlnet.netfilter.nf_conntrack_max 查看限制 sysctl net.netfilter.nf_conntrack_count 查看当前是否超限 echo net.ipv4.netfilter.ip_conntrack_max=524288 >> /etc/sysctl.conf 永久调整生效 sysctl -p 转载于:h...
iptables的nf_conntrack相关参数引起两个问题
钱国正的专栏
06-13 6267
某关键业务系统上频繁出现业务失败,并发生了一次大规模业务中断。 该系统采用两台IBM Power 740运行AIX 6.1+Oracle 11gR2 RAC作为数据库服务器,两台DELL PowerEdge R720作为应用服务器,前端采用F5作为负载均衡设备。 数据库服务器和应用服务器之间有Cisco ASA5585硬件防火墙进行访问控制。 应用服务器上运行自行开发的C程序,通过Oracle
100万并发连接服务器笔记之1M并发连接目标达成
记事本
04-06 4430
第四个遇到的问题:tcp_mem 在服务端,连接达到一定数量,诸如50W时,有些隐藏很深的问题,就不断的抛出来。 通过查看dmesg命令查看,发现大量TCP: too many of orphaned sockets错误,也很正常,下面到了需要调整tcp socket参数的时候了。 第一个需要调整的是tcp_rmem,即TCP读取缓冲区,单位为字节,查看默认值 cat /proc/s
centos7 内核参数优化
oToyix的博客
10-07 2819
内核优化 1、内核参数:用来约束LINUX系统内核、软件配置文件的参数 2、/etc/sysctl.conf 修改这个文件相当于修改/proc/sys/目录配置文件 3、sysctl -p 重启加载内核/etc/sysctl.conf配置文件 优化参数及说明 #开启内核转发功能 net.ipv4.ip_forward = 1 #表示开启时间戳与窗口缩放的选项 net.ipv4.tcp_timestamps = 1 #表示开启重用,允许将TIME-WAIT sockets重新用于新的tcp连接 重点net
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
linux 删除netfilter文件夹
最新发布
07-25
要在Linux系统中删除netfilter文件夹,您可以使用以下命令: ``` sudo rm -r netfilter ``` 请注意,这是一个具有潜在风险的操作,因为它会永久删除netfilter文件夹及其所有内容。在执行此命令之前,请确保您有足够的权限,并且确认您希望删除该文件夹。删除操作是不可逆的,一旦文件夹删除,其中的数据将无法恢复,请谨慎操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

洪晓露

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值