The OpenNET Project: Как увеличить размер таблицы контроля сессий ip

Как увеличить размер таблицы контроля сессий ip_conntrack в Linux	[исправить]
Если ядро ругается "kernel: ip_conntrack: table full, dropping packet.", причину флуда (скорее всего вирус или сканирование портов) можно найти по списку /proc/net/ip_conntrack Если просто общая загрузка большая, увеличить размер таблицы можно через /proc/sys/net/ipv4/ip_conntrack_max Также можно увеличить размерность хэша через параметр hashsize модуля ip_conntrack: /etc/modules.conf: options ip_conntrack hashsize=N Более тонкий тюнинг можно произвести через переменные определенные в /proc/sys/net/ipv4/netfilter


10.03.2006 Ключи: linux, iptables, netfilter, conntrack, trable / Лицензия: CC-BY
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Проблемы работы сети

Обсуждение

[ RSS ]

1, аноним (?), 16:21, 10/03/2006 [ответить]	+/–
On 128 MB of RAM you will get 8192 possible entries, and at 256 MB of RAM, you will get 16376 entries... ------------------ http://www.faqs.org/docs/iptables/theconntrackentries.html ------------------- тоесть, если у меня 128мб (больше не предвидится) и значение стоит 8184, но выскакивает "kernel: ip_conntrack: table full, dropping packet." то выхода нет ?

2, Maxim Chirkov (ok), 18:33, 10/03/2006 [^] [^^] [^^^] [ответить]

+/–

>тоесть, если у меня 128мб (больше не предвидится)
>и значение стоит 8184, но выскакивает
>"kernel: ip_conntrack: table full, dropping packet."
>то выхода нет ?

Это значение выставляетмое по умолчанию, никто не мешает поставить через /proc/sys/net/ipv4/ip_conntrack_max больше, из расчета 360 байт на запись. У нас был сервер c 128Мб ОЗУ и ip_conntrack_max=40000.

3, sire (??), 01:00, 30/03/2007 [ответить]	+/–
Можно, пожалуйста, подробне про "причину флуда (скорее всего вирус или сканирование портов) можно найти по списку /proc/net/ip_conntrack"?. Какой алгоритм поиска засранца?

4, tratatalschik (?), 21:54, 15/01/2008 [^] [^^] [^^^] [ответить]	+/–
Только ногами не бейте нужно было быстро, а как паттерн работает я последний ра... большой текст свёрнут, показать

5, Kim (?), 02:24, 21/10/2009 [ответить]	+/–
Помогите, не знаю где-куда и как подключить модуль ядра на CentOs error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv" is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent" is an unknown key

Добавить комментарий