linux ip_conntrack_max,ip_conntrack_max满导致无法建立链接

最新推荐文章于 2021-05-10 05:09:34 发布
最新推荐文章于 2021-05-10 05:09:34 发布
阅读量961 收藏 1
点赞数
文章标签: linux ip_conntrack_max

一台访问量较高的服务器出现严重的丢包和无法建立链接的情况,已经确认数据中心网络没有问题,怀疑服务器自身出现问题。

进入服务器发现网卡并没有error,内部运行的web服务均正常,但是仍然会出现断流和丢包现象,初步怀疑是在系统方面。

一、执行demsg

发现大量“VE0: nf_conntrack: table full, dropping packet.”的错误提示,确定是ip_conntrack跟踪连接满导致网络丢包问题。

ac3a4d240448dc229b7e317d4fb57ef0.png

二、统计表的情况

cat /proc/net/nf_conntrack | wc -l

默认max=65536。可以先重启iptables 恢复正常连接,然后修改参数

三、修改syctl参数

vi /etc/sysctl.conf

net.nf_conntrack_max = 655360   #加十倍,根据自身服务器内存进行修改

net.netfilter.nf_conntrack_tcp_timeout_established = 1200   #设置timeout时间

sysctl -p /etc/sysctl.conf

四、另外参考

#加大 ip_conntrack_max 值 net.ipv4.ip_conntrack_max = 393216

net.ipv4.netfilter.ip_conntrack_max = 393216

#降低 ip_conntrack timeout时间

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

增加完以上内容后,通过sysctl -p 使配置生效 。不过该方法缺点:一是重启iptables后,ip_conntrack_max值又会变成65535默认值,需要重新sysctl -p

参考文献:

http://blog.51cto.com/ixdba/1737642

https://blog.csdn.net/yanggd1987/article/details/54924725

加油吧ru
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LINUX服务器防火墙nf_conntrack问题一例
有莘不破的博客
01-06 1167
iptables模块nf_conntrack引发的一则故障案例
linux内核协议栈 netfilter 之连接跟踪子系统核心数据结构 struct nf_conn
11-01 2030
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
iptables连接跟踪ip_conntrack
weixin_34405557的博客
08-05 1222
一、ip_conntrack模块介绍:ip_conntrackLinux NAT一个跟踪连接条目的模块记录着允许的跟踪连接条目ip_conntrack 模块会记录 tcp 通讯协议的 established connection 记录, 而且预设 timeout 时间长达五天 (432,000 秒).所以局域网中当有人使用p2p类的软件就很容易使ip_conntrack达...
不要盲目增加ip_conntrack_max-理解Linux内核内存
系统运维
12-27 974
1.由ip_conntrack引出的Linux内存映射有很多文章在讨论关于ip_conntrack表爆之后丢弃数据包的问题,对此研究深入一些的知道Linux有个内核参数ip_conntrack_max,在拥有较大内存的机器中默认65536,于是疯狂的增加这个参数,比如设置成10000…00,只要不报设置方面的错误,就一定要设置成最大值。这种方式实在是将软件看成大神了,殊不知软件的技术含量还不如锅...
linux ip_conntrack_max,ip_conntrack_max调优必读(内容正确且全面)
weixin_34195649的博客
05-06 374
Netfilter conntrack performance tweaking, v0.8Hervé Eychenne This document explains some of the things you need to know for netfilter conntrack (and thus NAT) performance tuning.Latest version of this...
iptables ip_conntrack_max
weixin_33810006的博客
05-14 101
iptables ip_conntrack_max 1、what 允许的最大跟踪连接条目 -允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bu...
ip_conntrack_max问题
ku1989的专栏
01-31 2280
-允许的最大跟踪连接条目,在这篇文档中我们叫作CONNTRACK_MAX -存储跟踪连接条目列表的哈西表的大小,在这篇文档中我们叫做HASHSIZE(下面是这个结构的描述) CONNTRACK_MAX是在内核内存中netfilter可以同时处理的“任务”(连接跟踪条目)。 一个跟踪连接的条目是存储在一个链接起来的列表的一个节点上,每个列表都是一个哈西表的元素。因此每个哈西表的条
iptables ip_conntrack_max 调整
ku1989的专栏
01-31 764
一、概念 ==================== -允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。 图表形象解
nf_conntrack_max 参数测试与排查
热门推荐
人生若只如初见
10-30 1万+
压测步骤: 1.  新建一台操作系统为centos7云服务器B(10.173.34.83),部署并启动nginx; 开启防火墙:systemctlstart firewalld; 开启80端口:添加 firewall-cmd --zone=public --add-port=80/tcp –permanent 重载 firewall-cmd--reload   2.  新建一台操作系统
nf_conntrack详解
weixin_34262482的博客
07-30 6051
2019独角兽企业重金招聘Python工程师标准>>> ...
linux ip_conntrack_max,ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块...
weixin_34927903的博客
05-06 584
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
error: "net.ipv4.ip_conntrack_max" is an unknown key
weixin_33991418的博客
06-07 187
今天在新买的vps上执行sysctl -p,报下面的错误:net.ipv4.ip_forward = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.accept_source_route = 0kernel.sysrq = 0kernel.core_uses_pid = 1net.ipv4.tcp_syn...
linux ip_conntrack_max,解?Linux NAT ip_conntrack: table full的方法
weixin_42465051的博客
05-06 313
解?Linux NAT ip_conntrack: table full的方法发布时间:2007-09-07 00:28:48来源:红联作者:DominSer原本Linux NAT用得好好的,没想到几天前却出现了无法上网的情况,而系统记录也出现了这样的讯息:ip_conntrack: table full, dropping packet.后来才知道, Linux NAT的ip_conntrack...
ip_conntrack_max和hash表
技术资料库
12-24 2393
http://bbs.chinaunix.net/viewthread.php?tid=596067昨天无意中发现了一篇文档,解决了我很久以来的一些问题,于是花了半天的时间把它翻译了一下,可是翻译的却不好,如果您的E文还好的话,建议您直接看原文更好。这是关于使用iptables来调优防火墙性能的一篇短文。谢谢freenode 上#debian-zh中的pnt_。原文地址: http://w
Centos内核报错error: “net.ipv4.netfilter.ip_conntrack_max” is an unknown key
weixin_34197488的博客
09-10 981
1.安装时,rehl5一般都是在定制完系统后才开始格式化盘,安装相关的包,而rhel6则格式化完硬盘才开始定制系统。2.rhel6修改ifcfg-eth0文件,保存后网络会马上生效,而不会像以前版本修改后改变需要重启网络3.centos6.2开始网卡ifcfg-eth0改成ifcfg-em14./etc/inittab 文件里相关设定分成了小文件# System initia...
max卸载linux,ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块
weixin_33121737的博客
05-10 231
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块
weixin_34221775的博客
12-06 258
一、概念 -允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。 图表形象解释: 例如...
CONNTRACK_MAX和HASHSIZE
caoshunxin01的专栏
02-23 409
关于linux中的CONNTRACK_MAX和HASHSIZE要注意的地方   如果在压力测试的时候,并发数增大,但无法完成测试,可以尝试调整下参数:    vi /etc/sysctl.conf  在kernel2.6之前的添加项:  net.ipv4.netfilter.ip_conntrack_max = 655360  net.ipv4.netfilter.ip_conntr
nf_conntrack结构体
最新发布
07-13
`nf_conntrack` 是 Linux 内核中用于连接追踪的结构体。它被定义在 `<linux/netfilter/nf_conntrack.h>` 头文件中。该结构体用于跟踪网络连接的状态和相关信息。以下是 `nf_conntrack` 结构体的部分成员: ```c ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值