kernel: nf_conntrack: table full, dropping packet解决办法

最新推荐文章于 2023-06-12 21:53:17 发布
最新推荐文章于 2023-06-12 21:53:17 发布
阅读量2.6k 收藏
点赞数

http://blog.sina.com.cn/s/blog_541a3cf10101b3bj.html



昨天上线cache后,防火墙高峰报道2W5有些不对劲,检查系统日志发现

Sep  6 18:05:07 localhost kernel: nf_conntrack:table full, dropping packet.
Sep  6 18:19:13 localhost kernel: nf_conntrack:table full, dropping packet.
Sep  6 18:35:03 localhost kernel: nf_conntrack:table full, dropping packet.
Sep  6 19:02:56 localhost kernel: nf_conntrack:table full, dropping packet.
之前用ab测试10W请求每次200测试就出现过apr_socket_recv: Connection timed out(110)终止

没在意,所以就PASS了;不料留下了隐患。

那么先参考http://blog.johntechinfo.com/technology/275这篇文章来优化下测试环境:

解决办法如其所述,对ip_conntrack的两个参数进行设置即可:

 vi /etc/sysctl.conf
net.nf_conntrack_max = 655360
net.netfilter.nf_conntrack_tcp_timeout_established = 1200

但是http://blog.yorkgu.me/2012/02/09/kernel-nf_conntrack-table-full-dropping-packet/这位仁兄文中说在centos上,需要这样设置

net.ipv4.netfilter.ip_conntrack_max =655350
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established= 1200
#默认超时时间为5天,作为一个主要提供HTTP服务的服务器来讲,完全可以设置得比较短
sysctl -p /etc/sysctl.conf

那么我们再试下10W请求每次2000来测试下是否有效:(用的是第一种net.nf_conntrack_max)

kernel: <wbr>nf_conntrack: <wbr>table <wbr>full, <wbr>dropping <wbr>packet解决办法
果然有效。

ip_conntrack就是linuxNAT的一个跟踪连接条目的模块,ip_conntrack模块会使用一个哈希表记录 tcp 通讯协议的established connection记录,当这个哈希表满了的时候,便会导致nf_conntrack: table full,dropping packet错误。

关于如何优化conntrack模块,有一篇文章对此进行了解释,http://wiki.khnet.info/index.php/Conntrack_tuning,或http://blog.yorkgu.me/wp-content/uploads/2012/02/netfilter_conntrack_perf-0.8.txt

 

 查看目前 ip_conntrack buffer 的使用状况
cat /proc/slabinfo |grep conntrack
nf_conntrack_expect           208  39    2 :tunables        0 :slabdata             0
nf_conntrack      55606 73836   288  28    2 :tunables        0 :slabdata  2637  2637     0

55606 the number of currently active objects
73836 the total number of availableobjects  
288 the size of each object inbytes   
28 the number of pages with at least one active object

 

查出目前 ip_conntrack 记录最多的前十名 IP

cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2| sort | uniq -c | sort -nr | head -n 10

  45772 127.0.0.1

    72 203.81.70.29
    64 211.139.190.202
    62 203.81.72.85
    58 211.139.151.42
    58 211.139.146.167
    57 203.81.72.81
    56 221.179.8.36
    56 203.81.72.82
    54 203.81.70.21

 

现网加上了,看看明天高峰访问效果。
Boxing_moose
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack: table full, dropping packet
Be_Nice的博客
05-14 4362
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tables off service iptables stop service ip6tables stop
服务器出现丢包现象:kernel: nf_conntrack: table full, dropping packet
Zisson_no_error的博客
05-29 1104
查看服务器日志#tailf /var/log/message的时候,发现出现很多这种报错: kernel: nf_conntrack: table full, dropping packet 导致服务的连接异常,client端与server端无法建立连接 丢包原因:服务器访问量过大,内核iptables的跟踪表 nf_conntrack 相关参数配置不合理,导致 IP 包被丢掉,tcp连接无法建立 解决方法: ①丢包现象首先考虑防火墙问题,查看防火墙是关闭状态; ②再考虑iptables跟踪表中netfil
linux 路由跟踪表满错误 nf_conntrack: table full, dropping packet 原理解决方法
whatday的专栏
04-01 6165
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该“足够好”,其实不是。默认参数面向“通用”服务器,不适用于连接数和访问量比较多...
kernel: nf_conntrack: table full, dropping packet.报错
qq_38814358的博客
11-05 413
问题现象: 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在 dmesg 或 /var/log/messages 看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因: 服务器访问量大,内核 netfilter 模块 conntrack 相关参数配置不合理,导致 IP 包被丢掉,连接无法建立。 查看nf_conntrack表最大连接数: sudo sysctl net.netfilter.nf_connt
kernel: nf_conntrack: table full, dropping packet错误处理过程
白衣不染尘的博客
09-05 4117
报错信息: 查看症状: 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在 dmesg 或 /var/log/messages 看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因: 服务器访问量大,内核 netfilter 模块 conntrack 相关参数配置不合理,导...
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_tuple_common.rar_The Common
09-20
标题中的"nf_conntrack_tuple_common.rar_The Common"暗示了我们正在探讨的是网络连接跟踪(Netfilter Connection Tracking,简称NF Conntrack)中的元组(tuple)通用部分。NF Conntrack是Linux内核的一个核心组件...
nf_conntrack_proto_udp.rar_out
09-20
标题中的“nf_conntrack_proto_udp.rar_out”暗示了一个与网络连接跟踪(Netfilter Connection Tracking,简称NFCT)相关的主题,特别是涉及UDP(User Datagram Protocol)协议的子部分。这个名称可能对应于一个软件...
nf_conntrack: table full, dropping packet解决方法
热门推荐
yanggd1987的专栏
05-21 1万+
在添加magent代理后,做memcached测试的发现,如果并发很高,数据库的连接数居高不下,按理讲随着将key存入缓存中,连接数应该慢慢降下来才对,但是当并发低的时候却很正常。 由于在启动memcached时,加入了-vvv参数打印内部状态信息,查看日志: 29: going from conn_parse_cmd to conn_write 29: going from conn_wri
出现nf_conntrack: expectation table full提示问题
wgl307293845的博客
11-09 2508
问题描述 修改了FullCone Nat之后,出现nf_conntrack: expectation table full 解决方案 echo 512 > /proc/sys/net/netfilter/nf_conntrack_expect_max 注意: nf_conntrack_expect_max这个值根据系统内存大小设置,内存足够大可以设置相对较大一些,内存太小可以选择128或者256 ...
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 5856
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
CentOS7: kernel:nf_conntrack:expactation table full 引发的问题
chenyulancn的专栏
08-01 624
CentOS7 kernel:nf_conntrack:expactation table full
kernel nf_conntrack: table full, dropping packet 解决办法
未来软件
04-12 4656
kernel nf_conntrack: table full, dropping packet 解决办法 Posted on 2012-02-09 by york_gu 最近很长一段时间,千寻影视的服务器状况不佳,一到晚上高峰时间便访问经常出问题,症状表现为: 不管调用哪个接口,服务器响应快的时候非常快,慢的时候又非常慢,即便是访问一个最简单的nginx的状态页(跟业务
nf_conntrack: table full, dropping packet 问题排查和解决
weixin_30454481的博客
04-25 614
nf_conntrack模块在kernel 2.6.15(2006-01-03发布) 被引入,支持ipv4和ipv6,取代只支持ipv4的ip_connktrack,用于跟踪连接的状态,供其他模块使用。 最常见的使用场景是 iptables 的nat和state模块: nat根据转发规则修改IP包的源/目标地址,靠nf_conntrack的记录才能让返回的包能路...
如何解决系统报错:nf_conntrack: table full, dropping packets
最新发布
n9ecommunity的博客
06-12 1201
如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了,就说明快满了,需要调大 nf_conntrack_max。为了缓解大量连接的问题,您可能还需要考虑减少服务器等待连接关闭/超时的时间。这说明系统接到了大量的连接请求,但是系统的连接跟踪表已经满了,无法再记录新的连接了。显然,调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接,意味着要耗费更多资源,这点要注意。如果流量比较小,这个值是没问题的,但如果流量巨大,这个值可能就有点太小了。catpaw 的入门使用,可以参考文章:《
解决 nf_conntrack: table full, dropping packet 的几种思路
windex2000的专栏
05-16 1万+
nf_conntrack 工作在 3 层,支持 IPv4 和 IPv6,而 ip_conntrack 只支持 IPv4。目前,大多的 ip_conntrack_* 已被 nf_conntrack_* 取代,很多 ip_conntrack_* 仅仅是个 alias,原先的 ip_conntrack 的 /proc/sys/net/ipv4/netfilter/ 依然存在,但是新的 nf_conntr
nf_conntrack: table full, dropping packet 连接跟踪表已满,开始丢包 的解决办法
weixin_33974433的博客
04-11 770
nf_conntrack: table full, dropping packet 连接跟踪表已满,开始丢包 的解决办法中午业务说机器不能登录,我通过USM管理界面登录单板的时候发现机器没有僵死,然后一看日志,g一下子就明白了tail -2000 /var/log/messagesApr 10 12:48:35 bj-push-pushserver83 kernel: [9...
kernel: nf_conntrack: table full, dropping packet
06-09
这是一个内核消息,...为了解决这个问题,您可以尝试增加连接跟踪表的大小并重新启动服务器,或者优化服务器以处理更少的连接。您还可以尝试使用连接跟踪表的其他工具,如IPset或Conntrackd,来帮助管理连接跟踪表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值