「ファイアーウォールの学習」「ip_conntrack table full dropping packet」の解決対策

1.エラーメッセージ:
(日時) sv kernel: ip_conntrack: table full, dropping packet.

ファイル:
/var/log/messages

2.ip_conntrackの確認:
ip_conntrackの最大数を確認
# cat /proc/sys/net/ipv4/ip_conntrack_max

現在ip_conntrackのサイズを確認
# wc -l /proc/net/ip_conntrack

3.解決方法:

3.1.ip_conntrackサイズを変更
# /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max = 6553600
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 12
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
# sysctl -p 有効

3.2.ip_conntrackモジュールをロードしない

# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES=""

状態ルールを設定しない
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

関連投稿:

  1. CentOSでphp7.1をインストールするメモ
  2. ubuntu12.04でMySQLをインストール、設定する方法
  3. CentOS7.4にDockerをインストールする
  4. 「Linux」killコマンドでプロセスを終了する方法

Linux

Posted by arkgame