ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块

最新推荐文章于 2022-12-25 16:34:37 发布
原创 最新推荐文章于 2022-12-25 16:34:37 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统

本文详细介绍了iptables中conntrack参数的概念及其配置方法。包括最大跟踪连接条目CONNTRACK_MAX、哈希表大小HASHSIZE等核心参数,并提供了如何调整这些参数的具体步骤。
一、概念

-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )
-存储跟踪连接条目列表的哈西表的大小:HASHSIZE
-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目
-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。

图表形象解释:

 

例如,系统默认配置下,启动 iptables 时的信息如下:

ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack
二、实战:调大 conntrack_max 参数(2.4内核)

1)增大 hashsize (在i386架构上,HASHSIZE = CONNTRACK_MAX / 8)

# vi /etc/modprobe.conf
 options ip_conntrack hashsize=131072

然后重启 iptables 服务,在 sysctl -a | grep conntrack中可以看到参数已生效(自动调整为哈希表大小的8倍)

所以不要在/etc/sysctl.conf中设置以下两项的值:
net.ipv4.netfilter.ip_conntrack_max net.ipv4.ip_conntrack_max

iteye_18366
关注
K8S故障处理指南:coredns状态异常处理记录
m0_37680131的博客
01-14 5231
在Kubernetes中,coredns作为一个服务发现的配置中心,K8S 中创建的 Service 和 Pod 都会在其中自动生成相应的 DNS 记录,能够用作集群内部的dns解析,作为一个重要组件,coredns一般都采用daemonSet方式部署。本文记录了几种场景下coredns异常问题。
不要盲目增加ip_conntrack_max-理解Linux内核内存
系统运维
12-27 1019
1.由ip_conntrack引出的Linux内存映射有很多文章在讨论关于ip_conntrack表爆满之后丢弃数据包的问题,对此研究深入一些的知道Linux有个内核参数ip_conntrack_max,在拥有较大内存的机器中默认65536,于是疯狂的增加这个参数,比如设置成10000…00,只要不报设置方面的错误,就一定要设置成最大值。这种方式实在是将软件看成大神了,殊不知软件的技术含量还不如锅...
iptables ip_conntrack_max
weixin_33810006的博客
05-14 137
iptables ip_conntrack_max 1、what 允许的最大跟踪连接条目 -允许的最大跟踪连接条目:CONNTRACK_MAX默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bu...
iptables ip_conntrack_max 调整
ku1989的专栏
01-31 839
一、概念 ==================== -允许的最大跟踪连接条目:CONNTRACK_MAX默认值是 2^16=65536 ) -存储跟踪连接条目列表的哈西表的大小:HASHSIZE -每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目 -哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。 图表形象解
max卸载linux,ip_conntrack_max 参数修改方法卸载linux内核ip_conntrack 模块
weixin_33121737的博客
05-10 281
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
linux ip_conntrack_max,ip_conntrack_max调优必读(内容正确且全面)
weixin_34195649的博客
05-06 434
Netfilter conntrack performance tweaking, v0.8Hervé Eychenne This document explains some of the things you need to know for netfilter conntrack (and thus NAT) performance tuning.Latest version of this...
ip_conntrack_max问题
ku1989的专栏
01-31 2441
-允许的最大跟踪连接条目,在这篇文档中我们叫作CONNTRACK_MAX -存储跟踪连接条目列表的哈西表的大小,在这篇文档中我们叫做HASHSIZE(下面是这个结构的描述) CONNTRACK_MAX是在内核内存中netfilter可以同时处理的“任务”(连接跟踪条目)。 一个跟踪连接的条目是存储在一个链接起来的列表的一个节点上,每个列表都是一个哈西表的元素。因此每个哈西表的条
linux ip_conntrack_max,ip_conntrack_max 参数修改方法卸载linux内核ip_conntrack 模块...
weixin_34927903的博客
05-06 657
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
linux ip_conntrack_max,ip_conntrack_max满导致无法建立链接
weixin_31363913的博客
05-06 1043
一台访问量较高的服务器出现严重的丢包和无法建立链接的情况,已经确认数据中心网络没有问题,怀疑服务器自身出现问题。进入服务器发现网卡并没有error,内部运行的web服务均正常,但是仍然会出现断流和丢包现象,初步怀疑是在系统方面。一、执行demsg发现大量“VE0: nf_conntrack: table full, dropping packet.”的错误提示,确定是ip_conntrack跟踪连...
kubernetes工作原理(二)-iptables
CodeAsWind
03-09 3233
前言 虚拟化的网络可以自由的在本地进行基于单机的网络配置或者借助一些互联技术(underlay、overlay或者点对点技术)在虚拟网络内部空间实现跨节点和数据中心的网络互联,但是如果虚拟网络内部的服务要对外进行暴露,就不得不借助地址转换或者端口转换等数据包修改技术。而在现有的container管理框架中,iptables更是承担了服务暴露和服务后端负载均衡等功能,是诸如kubernetes、O...
TCP最大连接数调优
FanGer的博客
12-25 2717
全连接队列=min(somaxconn,backlog),所谓全连接,是指服务端已经收到客户端三次握手第三步的ACK,然后就会把这个连接放到全连接队列中,全连接队列中的连接还需要被 accept()系统调用取走,服务端应用才可以开始处理客户端的请求,建议适当调大,全连接队列溢出观察方法:netstat -s | grep “listen queue”当全连接队列满了之后,新的连接就会被丢弃掉。,所以端口号的范围只有0~65535,其中0-1024是预留端口号,不可使用,其他的端口都是可以使用的。
关于iptables中ip_conntrack_max和hash表的关系及调整
wangchewen的博客
10-30 427
这是关于使用iptables来调优防火墙性能的一篇短文。 谢谢freenode 上#debian-zh中的pnt_。 翻译:NetDC <fjdc AT 163 DOT com>; 如果您有什么好的想法可以和我交流。 转载注明出处,谢谢。 Netfilter conntrack 性能调整,v0.6 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Herv?Eychenne <rv _AT_ wallfire _DOT_ org>; 这篇
linux 报错 ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack 解决方法
whatday的专栏
01-30 490
linuxiptables防火墙使用了ip_conntrack内核模块实现连接跟踪功能,所有的进出数据包都会记录在连接跟踪表中,包括tcp,udp,icmp等,一旦连接跟踪表被填满以后,就会发生丢包,导致网络不稳定。 在大多数系统中,缺省的连接跟踪表大小是65536,可以通过下面2条命令查看缺省大小, sysctl net.ipv4.netfilter.ip_conntrack_max cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max 当需要...
linux ip转发 丢包,关于ip_conntrack跟踪连接满导致网络丢包问题的分析
weixin_35794280的博客
05-04 455
我们的线上web服务器在访问量很大时,就会出现网络连接丢包的问题,通过dmesg命令查看日志,发现如下信息:kernel: ip_conntrack: table full, dropping packet.kernel: printk: 1 messages suppressed.kernel: ip_conntrack: table full, dropping packet.kernel: ...
ip_conntrack_max和hash表
技术资料库
12-24 2438
http://bbs.chinaunix.net/viewthread.php?tid=596067昨天无意中发现了一篇文档,解决了我很久以来的一些问题,于是花了半天的时间把它翻译了一下,可是翻译的却不好,如果您的E文还好的话,建议您直接看原文更好。这是关于使用iptables来调优防火墙性能的一篇短文。谢谢freenode 上#debian-zh中的pnt_。原文地址: http://w
Linux关闭nf_conntrack模块
change_can的博客
08-31 6918
【问题描述】 服务器负载正常,但服务器内存飙升影响了中间件的使用,查看/var/log/messages 日志存在大量 kernel: nf_conntrack: table full, dropping packet 【说明】 nf_conntrack 模块在 kernel 2.6.15(2006-01-03 发布) 被引入,工作在 3 层,支持 IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用,它会使用一个哈希表来记录 establishe
关于linux中的CONNTRACK_MAX和HASHSIZE要注意的地方
jackyrongvip的专栏
08-24 422
如果在压力测试的时候,并发数增大,但无法完成测试,可以尝试调整下参数: vi /etc/sysctl.conf 在kernel2.6之前的添加项: net.ipv4.netfilter.ip_conntrack_max = 655360 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180 kernel...
ip_conntrack_in
最新发布
12-31
### 配置 `ip_conntrack` 参数 为了优化和调整 Linux 系统中的网络连接跟踪功能,可以修改内核参数来适应不同的需求。对于 `ip_conntrack_in` 相关的配置,主要涉及以下几个方面: #### 增大跟踪的最大条目数量 通过设置 `net.netfilter.nf_conntrack_max` 可以增加系统能够追踪的最大并发连接数。这有助于防止因连接表溢出而导致丢包或其他性能问题。 ```bash echo "3276800" > /proc/sys/net/netfilter/nf_conntrack_max ``` 或者永久化此更改到 `/etc/sysctl.conf` 文件中并应用: ```bash sysctl -w net.netfilter.nf_conntrack_max=3276800 ``` #### 调整协议超时时间 减少某些类型的连接在建立后的最大存活期限可以帮助释放不再活跃的会话记录,从而提高资源利用率。例如,TCP 已建立状态下的默认超时时长可以从常规值缩短至更短的时间间隔。 ```bash sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1200 ``` 同样适用于 UDP 和 ICMP 协议: ```bash sysctl -w net.netfilter.nf_conntrack_udp_timeout_stream=180 sysctl -w net.netfilter.nf_conntrack_icmp_timeout=30 ``` 这些操作可以通过编辑 `/etc/sysctl.conf` 来实现持久化的效果[^1]。 #### 故障排查技巧 当遇到与 `ip_conntrack` 相关的问题时,可采取如下措施进行诊断: ##### 查看系统统计信息 利用 `netstat` 或者更为现代的替代品如 `ss` 命令来获取有关当前活动连接的信息,并过滤掉特定错误条件的数据。 ```bash netstat -s | grep "dropped because of missing route" ``` ##### 使用 dmesg 日志分析 结合管道命令 (`|`) 对 `dmesg` 输出的日志消息进行筛选,以便快速定位可能存在的警告或错误提示。 ```bash dmesg | less ``` 也可以直接使用 `grep` 结合关键词搜索具体的异常情况。 ##### 安装必要的工具集 如果发现缺少一些常用的网络调试工具,则可通过软件包管理器安装它们,比如 `traceroute`, `ifconfig`, `netstat` 等等。 ```bash yum -y install traceroute net-tools lrzsz ``` 以上步骤能帮助更好地理解和解决与 `ip_conntrack` 机制相关的各种挑战[^3][^4].
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值