Решаем проблему с "nf_conntrack: table full, dropping packet"

Смотрим текущие настройки

sysctl -a | grep conntrack_max

Если видим:

net.ipv4.netfilter.ip_conntrack_max = 65536
net.netfilter.nf_conntrack_max = 65536
net.nf_conntrack_max = 65536

Смело увеличиваем количество:

nano /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max=1548576

И применяем настройки:

sysctl -p

Заполнение таблицы можно проверить командой:

cat /proc/net/nf_conntrack | wc -l

Если и при таких значениях таблица переполняется ставим пакет conntrack

Debian:

apt-get install conntrack

Centos:

yum install -y conntrack-tools

Смотрим топ запросов от IP

/usr/sbin/conntrack -L |awk '{if ($5 ~ /src/) print $5; else if ($4 ~ /src/) print $4}' | sed "s/src=/ /g" | sort | uniq -c | sort -n | tail -n10
  • billing/howto/nf_conntrack.txt
  • Последние изменения: 2 лет назад
  • — Олег Вильковский