如何解决系统报错:nf_conntrack: table full, dropping packets

最新推荐文章于 2024-07-26 17:12:54 发布
最新推荐文章于 2024-07-26 17:12:54 发布
阅读量1.1k 收藏
点赞数
文章标签: 运维 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n9ecommunity/article/details/131177655
版权

问题

在系统日志中(/var/log/messages),有时会看到大面积的下面的报错:

nf_conntrack: table full, dropping packet

这说明系统接到了大量的连接请求,但是系统的连接跟踪表已经满了,无法再记录新的连接了。这时候,系统会丢弃新的连接请求。

在 CentOS 下,默认的连接跟踪表大小是 65536,可以通过下面的命令查看:

cat /proc/sys/net/netfilter/nf_conntrack_max

如果流量比较小,这个值是没问题的,但如果流量巨大,这个值可能就有点太小了。

解决方法

显然,调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接,意味着要耗费更多资源,这点要注意。

查看当前有多少活跃连接:

cat /proc/sys/net/netfilter/nf_conntrack_count

如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了,就说明快满了,需要调大 nf_conntrack_max。可以使用下面的命令临时调大:

echo 524288 > /proc/sys/net/netfilter/nf_conntrack_max

如果不想每次重启都要重新设置,可以修改 /etc/sysctl.conf,加入下面的配置:

net.netfilter.nf_conntrack_max = 524288

为了缓解大量连接的问题,您可能还需要考虑减少服务器等待连接关闭/超时的时间。在 /etc/sysctl.conf 中加入下面的配置:

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 60

如何监控

平时使用 categraf(GitHub - flashcatcloud/categraf: one-stop telemetry collector for nightingale) 监控就可以了,categraf 提供了 input.conntrack 采集插件,可以采集 conntrack 的信息,建议采集配置如下:

conf/input.conntrack/conntrack.toml:

files = [
    "ip_conntrack_count",
    "ip_conntrack_max",
    "nf_conntrack_count",
    "nf_conntrack_max"
]

dirs = [
    "/proc/sys/net/ipv4/netfilter",
    "/proc/sys/net/netfilter"
]

# ignore errors
quiet = true

完事配置一个类似下面的监控规则即可:

conntrack_ip_conntrack_count / ip_conntrack_max > 0.8

另一个监控方案,是直接监控系统日志,算是一个兜底监控方案,可以采用 catpaw 来监控,catpaw 提供了 journaltail 采集插件,可以读取近期系统日志,grep 关键字,如果出现异常关键字就告警,配置如下:

conf.d/p.journaltail/journaltail.toml:

[[instances]]
# journalctl -S -${time_span}
time_span = "1m"
# relationship: or
keywords = ["Out of memory", "nf_conntrack: table full, dropping packets"]
# check rule name
check = "Critical System Errors"
# # gather interval
interval = "30s"

[instances.alerting]
## Enable alerting or not
enabled = true
## Same functionality as Prometheus keyword 'for'
for_duration = 0
## Minimum interval duration between notifications
repeat_interval = "5m"
## Maximum number of notifications
repeat_number = 3
## Whether notify recovery event
recovery_notification = true
## Choice: Critical, Warning, Info
default_severity = "Warning"

catpaw 的入门使用,可以参考文章:《太卷了,史上最简单的监控系统 catpaw 简介

夜莺开源监控
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack: table full, dropping packet. 终结篇
weixin_30585437的博客
06-28 695
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip...
Resolving “nf_conntrack: table full, dropping packet.”
TAEM123589的博客
06-06 586
The following blog is copied fromhttp://www.pc-freak.net/blog/resolving-nf_conntrack-table-full-dropping-packet-flood-message-in-dmesg-linux-kernel-log/ For all-known reason. On many busy s...
ip_conntrack table full dropping packet解决方案
zhile005的专栏
03-25 267
ip_conntrack table full dropping packet解决方案
nf_conntrack
砚墨
01-17 6880
nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我们还需要能让回来的包能路由到最初的来源主机。这就需要借助 nf_conntrack 来找到原来那个连接的记录才行。而 state 模块则是直接使用 nf_conntrack 里记录的连接的状态来匹
linux iptables nf_conntrack 简介
whatday的专栏
01-02 3077
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
Resolving “nf_conntrack: table full, dropping packet.” flood message in dmesg Linux kernel log
weixin_34179762的博客
06-30 188
On many busy servers, you might encounter in /var/log/syslog or dmesg kernel log messages likenf_conntrack:tablefull,droppingpacketto appear repeatingly:[1737157.057528]nf_conntrack:t...
解决 linux 系统 nf_conntrack: table full, dropping packet 的几种思路
无锋剑
12-16 245
 nf_conntrack 工作在 3 层,支持 IPv4 和 IPv6,而 ip_conntrack 只支持 IPv4。目前,大多的 ip_conntrack_* 已被 nf_conntrack_* 取代,很多 ip_conntrack_* 仅仅是个 alias,原先的 ip_conntrack 的 /proc/sys/net/ipv4/netfilter/ 依然存在,但是新的 nf_con...
用iptables的raw表解决ip_conntrack: table full, dropping packet的问题
beyondlpf的专栏
02-01 916
1) 什么是raw表?做什么用的?iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处...
Iptables之nf_conntrack模块
u011029104的专栏
02-18 647
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_tuple_common.rar_The Common
09-20
标题中的"nf_conntrack_tuple_common.rar_The Common"暗示了我们正在探讨的是网络连接跟踪(Netfilter Connection Tracking,简称NF Conntrack)中的元组(tuple)通用部分。NF ConntrackLinux内核的一个核心组件...
nf_conntrack_proto_udp.rar_out
09-20
标题中的“nf_conntrack_proto_udp.rar_out”暗示了一个与网络连接跟踪(Netfilter Connection Tracking,简称NFCT)相关的主题,特别是涉及UDP(User Datagram Protocol)协议的子部分。这个名称可能对应于一个软件...
使用易备数据备份软件,践行虚拟机最佳备份方案
sanyuan7783的博客
07-26 904
新的关键业务应用程序有助于为容器和容器化工作负载赋予更大动力。但是,在可预见的未来,虚拟机的应用仍会普遍存在。容器和虚拟机可以很好地协同工作,适用于大多数关键的 IT 基础设施。因此,备份虚拟机及其包含的数据、服务和应用程序仍然是企业至关重要的任务。本文以 VMware vSphere 虚拟机为例,介绍虚拟机备份的最佳实践方法。
AccessLog| 一款开源的日志分析系统
ClkLog的博客
07-26 446
系统采用Java语言、搭配OLAP数据库,涵盖基本web日志分析,同时提供性能分析,帮助高效运维
DNS反向解析、多域名解析、时间服务器相关配置
qq_74793290的博客
07-24 488
DNS反向解析、多域名解析、时间服务器
Linux 普通用户启动Nginx使用80端口,小于1024的端口
最新发布
y393016244的博客
07-26 119
在root用户下执行。
续DNS服务(逆向解析、多域名、时间服务、主从DNS服务)
qq_69920145的博客
07-24 760
DNS 逆向解析(Reverse DNS Lookup)是通过 IP 地址来查找对应的域名。通常情况下,我们通过域名来获取对应的 IP 地址,这被称为正向解析。而逆向解析则是反过来,根据已知的 IP 地址获取其对应的域名。然而,逆向解析的配置和维护相对复杂,并且不是所有的 IP 地址都有对应的有效的逆向解析记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜莺开源监控

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值