最新消息:

<转>centos6.2日志报错kernel: nf_conntrack: table full, dropping packet

Linux运维 大步 2151浏览 0评论


最近服务器/var/log/messages中经常有大量跟踪的连接超(如下:)

Feb 11 13:19:12 ns1-shpbs kernel: nf_conntrack: table full, dropping packet.

Feb 11 13:19:13 ns1-shpbs kernel: nf_conntrack: table full, dropping packet.

Feb 11 13:19:15 ns1-shpbs kernel: nf_conntrack: table full, dropping packet.

Feb 11 13:19:56 ns1-shpbs kernel: nf_conntrack: table full, dropping packet.

服务器版本信息:
Linux DNS 2.6.32-220.2.1.el6.x86_64 #1 SMP Fri Dec 23 02:21:33 CST 2011 x86_64 x86_64 x86_64 GNU/Linux

如果高负载系统使用了netfilter/iptables,调整以下参数

net.ipv4.ip_conntrack_max = 655350

在内核内存中netfilter可以同时处理的“任务”(连接跟踪条目)

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 10800

跟踪的连接超时结束时间

然后执行/sbin/sysctl -p让参数生效

[root@ns1-shpbs netfilter]# cat nf_conntrack_max

65536

[root@ns1-shpbs netfilter]# cat nf_conntrack_tcp_timeout_established

432000

nf_conntrack_tcp_timeout_established在默认情况下为 default value is 432000sec ,5 days

[root@dns1 /]# echo 655350 > /proc/sys/net/netfilter/nf_conntrack_max

[root@dns1 /]# echo 10800 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

# sysctl -a | grep conntrack

# vi /etc/sysctl.conf

net.netfilter.nf_conntrack_tcp_timeout_established = 10800

net.netfilter.nf_conntrack_max = 655350

# sysctl -p

From http://blog.sina.com.cn/s/blog_4a9e49b501012dbd.html

转载请注明:大步's Blog » <转>centos6.2日志报错kernel: nf_conntrack: table full, dropping packet

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
SiteMap