- A+
当我们开启iptables后,会有这么个现象发生,丢包。ping的话会断断续续的丢包,ifconfig 会看到网卡dropped:XXX一直在增加,messages日志有以下内容:
ip_conntrack表满导致的,iptables开启后会加载ip_conntrack模块,来跟踪包。默认情况下ip_conntrack_max大小为65536。
iptables导致ftp列表失败一例参见:pureftp读取目录列表失败解决
查看ip_conntrack最大大小:
|
1 |
# cat /proc/sys/net/ipv4/ip_conntrack_max |
查看当前ip_conntrack大小:
|
1 |
# wc -l /proc/net/ip_conntrack |
解决方法:
1. 更改ip_conntrack大小
|
1 2 3 4 5 6 7 |
# /etc/sysctl.conf net.ipv4.netfilter.ip_conntrack_max = 6553600 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 12 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 # sysctl -p 使其生效 |
这种解决方案,需要在每次iptables重启后,都要执行一遍sysctl -p, 也可以将sysctl -p写入到iptables启动脚本中。 不过ip_conntrack满的隐患还是存在的。
2. 不加载ip_conntrack模块
修改 /etc/sysconfig/iptables-config配置文件
|
1 2 |
# vim /etc/sysconfig/iptables-config IPTABLES_MODULES="" |
/etc/sysconfig/iptables 不要配置状态的规则, 如:
|
1 |
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT |
设置了这些后,如果有设置方案1中内核参数,执行sysctl -p会报以下错误的:
error: "net.ipv4.netfilter.ip_conntrack_max" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait" is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait" is an unknown key
这种情况是因为没有加载ip_conntrack模块导致的。 这不正是我想要的么?
来看下是否加载了ip_conntrack模块:
推荐使用方案2。
如需转载请注明出处:ip_conntrack table full dropping packet解决方案 http://www.ttlsa.com/html/2303.html
07/06/2015 上午 2:33 沙发
楼主,用过这个方法吗: http://hi.baidu.com/farmerluo/item/f49bbdc0e390a52dee4665bb
07/06/2015 上午 2:27 板凳
centos 6.5 默认已经是空了 IPTABLES_MODULES=""。 那在使用State 规则。会有什么影响吗
07/06/2015 上午 2:14 地板
你好,请问。为什么不能配置状态的规则呢。
16/08/2013 上午 10:27 4楼
很好
来自外部的引用: 1