linux 报错 ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack 解决方法

最新推荐文章于 2023-06-06 09:00:00 发布
最新推荐文章于 2023-06-06 09:00:00 发布
阅读量422 收藏
点赞数
原文链接:https://blog.csdn.net/whatday/article/details/113429302
版权

linux的iptables防火墙使用了ip_conntrack 内核模块实现连接跟踪功能,所有的进出数据包都会记录在连接跟踪表中,包括tcp,udp,icmp等,一旦连接跟踪表被填满以后,就会发生丢包,导致网络不稳定。

在大多数系统中,缺省的连接跟踪表大小是65536,可以通过下面2条命令查看缺省大小,

sysctl  net.ipv4.netfilter.ip_conntrack_max

cat  /proc/sys/net/ipv4/netfilter/ip_conntrack_max

当需要扩大连接跟踪表时,首先需要先加载ip_conntrack 模块,再通过以下接口进行调整,例如:

modprobe  ip_conntrack

sysctl  -w net.ipv4.netfilter.ip_conntrack_max = 655360(放大10倍)。

其实,ip_conntrack 模块支持一个隐含的模块参数hashsize(隐含参数意味着通过modinfo ip_conntrack查看时没有给出的模块参数),

连接跟踪表其实是一张hash表,每个hash bucket(桶)有8条记录,因此65536条记录对应8192个hash bucket。

比如缺省配置下加载 ip_conntrack模块时,内核给出的提示信息如下:

ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack

如果需要支持655360条跟踪记录的话,只需要将hash bucket设置为81920即可:

modprobe  ip_conntrack  hashsize=81920

或者添加到 /etc/modprobe.conf 配置文件中:

options ip_conntrack  hashsize=81920

通过这种方式就可以做到在ip_conntrack模块被加载时就设置好连接跟踪表的大小。

 

 

whatday
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
libnetfilter_conntrack-1.0.6-1.el7_3.x86_64.rpm
11-30
离线安装包,亲测可用
libnetfilter_conntrack-1.0.6-5.el8.x86_64.rpm
12-06
官方离线安装包,亲测可用
iptables之ip_conntrack模块
weixin_33860528的博客
05-23 715
ip_conntrack模块:1,基本概念:-允许的最大跟踪连接条目:CONNTRACK_MAX-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。kernel 用 ip_conntrack 模块来...
iptables ip_conntrack_max 调整
ku1989的专栏
01-31 756
一、概念 ==================== -允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。 图表形象解
RHEL/CentOS修改ip_conntrack的HASHSIZE
weixin_34100227的博客
05-18 197
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释:通过修改HASHSIZE的值,可以自动...
linux ip_conntrack_max,ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块...
weixin_34927903的博客
05-06 581
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
ip_conntrack_ftp ftp设置(待解决
weixin_33979745的博客
06-07 1323
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。 Port模式:ftp server:tcp 21 <------client:dynamic ftp server:tcp 20 ------>client:dynamic Pasv模式:ftp server:tcp 21 <----client:dynamic ftp ser...
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
Linux内核支持ftp,linux内核netfilter之ip_conntrack模块-FTP模式
weixin_39612896的博客
04-29 795
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。Port模式:ftp server:tcp 21 server:tcp 20 ------>client:dynamicPasv模式:ftp server:tcp 21 server:tcp dynamic PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建...
关于iptables中ip_conntrack_max和hash表的关系及调整
wangchewen的博客
10-30 333
这是关于使用iptables来调优防火墙性能的一篇短文。 谢谢freenode 上#debian-zh中的pnt_。 翻译:NetDC <fjdc AT 163 DOT com>; 如果您有什么好的想法可以和我交流。 转载注明出处,谢谢。 Netfilter conntrack 性能调整,v0.6 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Herv?Eychenne <rv _AT_ wallfire _DOT_ org>; 这篇
linux ip转发 丢包,关于ip_conntrack跟踪连接满导致网络丢包问题的分析
weixin_35794280的博客
05-04 371
我们的线上web服务器在访问量很大时,就会出现网络连接丢包的问题,通过dmesg命令查看日志,发现如下信息:kernel: ip_conntrack: table full, dropping packet.kernel: printk: 1 messages suppressed.kernel: ip_conntrack: table full, dropping packet.kernel: ...
linux ip_conntrack 连接满导致网络丢包
whatday的专栏
02-18 703
我们的线上web服务器在访问量很大时,就会出现网络连接丢包的问题,通过dmesg命令查看日志,发现如下信息: kernel: ip_conntrack: table full, dropping packet. kernel: printk: 1 messages suppressed. kernel: ip_conntrack: table full, dropping packet. ke...
modprobe命令
m0_61231111的博客
04-29 8499
modprobe命令用于智能地向内核中加载模块或者从内核中移除模块。 modprobe可载入指定的个别模块,或是载入一组相依的模块。modprobe会根据depmod所产生的相依关系,决定要载入哪些模块。若在载入过程中发生错误,在modprobe会卸载整组的模块。 语法 modprobe(选项)(参数) 选项 -a或--all:载入全部的模块; -c或--show-conf:显示所有模块的设置信息; -d或--debug:使用排错模式; -l或--li.
linux命令:iptables、modprobe装载模块、网络防火墙服务
weixin_34050427的博客
03-14 235
装载ip追踪模块ip_conntrack:[root@johntest ~]# modprobe ip_conntrack #装载ip_conntrack模块[root@johntest ~]# lsmod |grep ip_conntrack #查看ip_conntrack模块信息ip_conntrack 91621 0nfnetlink ...
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9312
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
centos7 加载ip_conntrack
weixin_33849215的博客
03-30 2580
命令:modprobe ip_conntrack 转载于:https://blog.51cto.com/314258/2371672
关于linux中的CONNTRACK_MAX和HASHSIZE要注意的地方
jackyrongvip的专栏
08-24 366
如果在压力测试的时候,并发数增大,但无法完成测试,可以尝试调整下参数: vi /etc/sysctl.conf 在kernel2.6之前的添加项: net.ipv4.netfilter.ip_conntrack_max = 655360 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180 kernel...
linux 内核中整个nf_conntrack_core.c什么意思
最新发布
07-09
nf_conntrack_core.c是Linux内核中处理网络连接跟踪的核心模块的源代码文件。该文件主要实现了网络连接跟踪子系统的核心功能。 网络连接跟踪是Linux内核中的一个重要功能,用于跟踪网络连接的状态和信息。nf_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值