nf_conntrack内核模块常见问题

已于 2024-06-19 18:23:11 修改
阅读量2.6k 收藏 9
点赞数 21
CC 4.0 BY-SA版权
分类专栏: Linux内核 文章标签: nf_conntrack
于 2023-11-24 12:02:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/omaidb/article/details/134549199
本文详细介绍了nf_conntrack内核模块常见的问题“fallingbacktovmalloc”,涉及排查步骤,如启用模块、检查配置,以及三种解决办法:减小nf_conntrack_buckets值、增大m.min_free_kbytes并解释风险,以及Linux社区的官方回应。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nf_conntrack内核模块常见问题

问题描述

内核报错 falling back to vmalloc


排查步骤


前置条件:启用nf_conntrack内核模块

检查nf_conntrack内核模块是否启用

# 检查当前系统是否已经安装了 nf_conntrack 内核模块
lsmod | grep nf_conntrack

image.png
image.png
如果输出中没有nf_conntrack,则未启用该模块

# 低版本内核启用内核模块
modprobe nf_conntrack_ipv4

# 高版本内核nf_conntrack_ipv4被nf_conntrack替换了
modprobe nf_conntrack

检查nf_conntrack配置

参数默认值解释
net.netfilter.nf_conntrack_buckets65536网络连接跟踪表(conntrack table)的桶(bucket)数量
net.netfilter.nf_conntrack_max262144连接跟踪表中可以存储的最大连接跟踪条目数
net.nf_conntrack_max262144网络连接跟踪表(conntrack table)的最大连接数
# 检查nf_conntrack配置
sysctl -a | grep -i nf_conntrack

# 查看网络连接跟踪表(conntrack table)的桶(bucket)数量
# 查看连接跟踪表中可以存储的最大连接跟踪条目数
# 查看网络连接跟踪表(conntrack table)的最大连接数
sysctl -a|grep -E "net.netfilter.nf_conntrack_buckets|net.netfilter.nf_conntrack_max|net.nf_conntrack_max"

image.png

# 查看连接跟踪模块(nf_conntrack)中的哈希表大小
# net.netfilter.nf_conntrack_buckets 参数是 hashsize 参数的一个别名
## 较大的哈希表大小可以支持更多的连接跟踪,但也会占用更多的内存
cat /sys/module/nf_conntrack/parameters/hashsize

# 通常和net.netfilter.nf_conntrack_buckets的值是一样的

image.png


解决办法1:半数减少nf_conntrack buckets的值

https://blog.youkuaiyun.com/whatday/article/details/107552387

出现报错localhost kernel: nf_conntrack: falling back to vmalloc.说明nf_conntrack buckets设置过大,按半数减小,进行测试

# 修改连接跟踪模块(nf_conntrack)中的哈希表大小
echo 3072200 > /sys/module/nf_conntrack/parameters/hashsize

# 修改连接跟踪表中可以存储的最大连接跟踪条目数
sysctl -w net.netfilter.nf_conntrack_max=2097152

# 修改网络连接跟踪表(conntrack table)的最大连接数
sysctl -w net.nf_conntrack_max=2097152

image.png

如果仍然报错误falling back to vmalloc,继续按半数减小,进行测试。


解决办法2:加倍调大vm.min_free_kbytes值

https://access.redhat.com/solutions/6958239
红帽和Oracle官方建议:
vm.min_free_kbytes该参数是:内核操作保留的最少可用RAM,该值不应超过系统内存的 0.4%2GB,一般调试方法是加倍 vm.min_free_kbytes 的值。

vm.min_free_kbytes

关键是在于调整内存的内核参数的时候!调大的风险远大于调小的风险!如果有人想将 vm.min_free_kbytes 调大,千万要注意当前的水位,如果一旦调大 vm.min_free_kbytes 立刻触发directreclaim,可能会导致机器hang住,ping的通,ssh不上,影响业务!hang住的原因是当 vm.min_free_kbytes 是512M的时候,此时 free只有1G,此时正常运行,此时如果调大vm.min_free_kbytes 到5G,将会direct reclaim失败。


解决办法3:Linux社区权威答复-忽略告警

该告警并无实质性影响,RHEL8中已经删除该告警
image.png

这是Linux内核社区 关于消除该告警的补丁邮件
https://lore.kernel.org/lkml/55A8C428.1000005@gmx.de/T/

image.png

LINUX服务器防火墙nf_conntrack问题一例
有莘不破的博客
01-06 1415
iptables模块nf_conntrack引发的一则故障案例
linux内核协议栈 netfilter 之连接跟踪子系统核心实现nf_conntrack_in() / nf_conntrack_confirm() / 定时器
11-01 2460
1连接跟踪入口nf_conntrack_in() 数据包skb就是通过该函数进入连接跟踪子系统的,对于发送报文,从LOCAL_OUT点进入,对于接收报文,从PRE_ROUTING点进入。该函数的功能是实现对数据的连接跟踪,更新连接跟踪项的连接状态,目前就是根据五元组识别一条数据流。 unsigned int nf_conntrack_in(int pf, unsigned int hooknum, struct sk_buff *skb) { struct nf_conn *ct; en...
nf_conntrack被启用导致服务故障
weixin_30838873的博客
10-03 627
nf_conntrack被启用导致服务故障 1.查看是否有 nf_conntrack使用iptable -L -t nat 查看,注意!!!查看也会启用nf_conntrack,任何和nat有关的命令都会启用nf_contrack -L 查看iptable规则,默认查看filter表我们现在用的比较多个功能有3个:1.filte...
net.netfilter.nf_conntrack_max 参数详解与最佳实践
最新发布
sre救赎之路
05-30 1144
是 Linux 内核中控制连接跟踪系统(Conntrack)最大条目数的关键参数。连接跟踪是防火墙和 NAT 功能的基础,理解并合理配置该参数对系统网络性能至关重要。参数直接影响系统连接跟踪能力和内存使用,合理配置是平衡性能与资源的关键。及相关参数,可以显著提升系统的网络处理能力和稳定性。内存(取决于内核版本和配置)。每个连接跟踪条目大约占用。
ipconntrack中的一个BUG
03-04 1526
好不容易搞个周六,被总监叫回去救火,郁闷啊!说是BT下载有内存泄露。跑两小时就内核挂了。乱杀进程。又出现了传说中的内存泄露。哎。只好回公司。首先进行问题定位。先看是内核的还是应用的。经过对SLABINFO进行分析。发现是内核中一个数据结构在狂飚。这个数据结构就是ip_conntrack_expect。基本可以定位是内核问题了。一看这玩意就知道是netfilter这一块的事。然后对SVN进行查找。发现最近将对称NAT改成了锥形NAT。这个地方非常可疑。因为这个是要通过IPTABLES来操作NETFILTER的
Iptables之nf_conntrack模块
u011029104的专栏
02-18 1825
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
nf_conntrack
weixin_34236497的博客
04-11 869
(服务器用的阿里云主机,CentOS 7.3,似乎不管内存多少阿里云都把 conntrack_max 设成 65536) 症状CentOS服务器,负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dmesg或/var/log/messages看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因服务器访问量...
kubernetes节点报nf_conntrack: table full, dropping packet的故障处理
rendongxingzhe的博客
10-11 1653
Linux高并发报错, nf_conntrack: table full, dropping packet
性能常识 [踩坑总结] nf_conntrack: table full, dropping packet [新]
weixin_67553250的博客
03-20 4466
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个 “新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该 “足够好”,其实不是。默认参数面向 “通用” 服务器,不适用于连接数和访问量比较多的场景。 症状 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在dm.
nf_conntrack_proto_udp.rar_out
09-20
综上所述,"nf_conntrack_proto_udp.rar_out"涉及的是Linux内核中的网络连接跟踪模块,特别是针对UDP协议的部分,其主要任务是管理和输出与UDP连接相关的跟踪信息。这个模块通过解析和处理UDP数据包,在网络层提供...
linux禁止修 5在线阅读,linux – 如何在不重新编译内核的情况下禁用CentOS 5.3中的nf_conntrack内核模块...
weixin_35879989的博客
05-16 536
我正在运行CentOS 5.3,并希望禁用nf_conntrack模块以提高haproxy的网络性能.我正在使用一些简单的规则运行iptables.我真的不需要连接跟踪.我在Rackspace云服务器上运行,所以我无法运行自定义内核.我试过运行modprobe,但这不起作用.[mmarano@w1 w1]$sudo modprobe -n -r nf_conntrackFATAL: Module ...
linux 系统日志报错 kernel: nf_conntrack: falling back to vmalloc 解决方法
贪欢的博客
03-10 2384
系统版本:CentOS Linux release 7.6.1810 (Core) 系统内核:3.10.0-957.el7.x86_64 1、在系统日志中发现有报错信息:kernel: nf_conntrack: falling back to vmalloc. [root@th ~]# grep kernel: /var/log/messages Mar 10 14:09:54 th kernel: nf_conntrack: falling back
内核加载模块时出现Unknown symbol等提示
weixin_30920091的博客
11-08 1521
一.背景 1.更改了内核的配置,重新编译了内核 2.未重新编译内核模块 3.板子上只更新了内核,并未更新文件系统 二.分析 发现是在加载内核模块时出现Unknown symbol等信息,恰逢当时只更新了内核未更新根文件系统,因此怀疑与根文件系统有关. 三.解决 编译对应的内核模块,并更新文件系统到板子上 转载于:https://www.cnblogs.com/dak...
kernel: nf_conntrack: table full, dropping packet错误处理过程
白衣不染尘的博客
09-05 4381
报错信息: 查看症状: 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在 dmesg 或 /var/log/messages 看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因: 服务器访问量大,内核 netfilter 模块 conntrack 相关参数配置不合理,导...
kernel: nf_conntrack: table full, dropping packet.报错
qq_38814358的博客
11-05 600
问题现象: 服务器负载正常,但请求大量超时,服务器/应用访问日志看不到相关请求记录。 在 dmesg 或 /var/log/messages 看到大量以下记录: kernel: nf_conntrack: table full, dropping packet. 原因: 服务器访问量大,内核 netfilter 模块 conntrack 相关参数配置不合理,导致 IP 包被丢掉,连接无法建立。 查看nf_conntrack表最大连接数: sudo sysctl net.netfilter.nf_connt
nf_conntrack: falling back to vmalloc.
weixin_33834075的博客
06-10 1430
System log message file is reporting "kernel: nf_conntrack: falling back to vmalloc". Memory page availability can be further checked from /proc/buddyinfo as below. # cat /proc/buddyinfo Node 0, zone...
解决报错:kernel: nf_conntrack: falling back to vmalloc
TN947的博客
12-30 4721
CentOS Linux release 7.6.1810 (Core)  Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 解决报错:kernel: nf_conntrack: falling back to v...
linux 报错 kernel: nf_conntrack: falling back to vmalloc 解决方法
whatday的专栏
07-24 4707
CentOS Linux release 7.6.1810 (Core) Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 解决报错:kernel: nf_conntrack: falling back to vmalloc 1、重启防火墙中,发现/var/log/messages有如下消息: Dec 30 18:5.
nf_conntrack_ipv4模块安装(解决找不到的错误问题)
阿白,
11-04 4054
安装kubernetes是,主要修改内核参数, 要加入nf_conntrack_ipv4,有的教程跟着做会显示找不到nf_conntrack_ipv4,网上有人说因为nf_conntrack_ipv4被nf_conntrack替换了,所以装不了,其实不然,执行那个修改模块的脚本,注意脚本名后缀的是.modules, 如/etc/sysconfig/modules/ipvs.modules 然后再sysctl -p,请测没有错误 ...
sudo -S modprobe nf_conntrack nf_nat
03-29
<think>好的,我现在需要帮助用户在Linux系统中使用modprobe加载nf_conntracknf_nat内核模块。首先,我得回顾一下相关的知识,确保自己对这些模块和modprobe命令的理解正确。 首先,我记得nf_conntrack模块是用于连接跟踪的,它维护一个连接状态表,供其他模块如防火墙或NAT使用。而nf_nat模块则负责网络地址转换,通常在需要NAT功能时使用。这两个模块通常是相互依赖的,加载顺序可能有讲究。 接下来,用户的问题是关于如何通过命令行加载这两个模块。根据之前的引用内容,用户可能之前尝试过移除这些模块,现在需要重新加载。modprobe命令是用来加载内核模块的,它会自动处理依赖关系,所以可能需要先加载依赖的模块。 根据引用[1],用户之前卸载了xt_NOTRACK、nf_conntrack_netbios_ns、nf_conntrack_ipv4、xt_state和nf_conntrack模块。因此,重新加载的时候,可能需要先加载基础模块,比如nf_conntrack,然后再加载依赖它的模块,比如nf_nat。 不过,在Linux中,通常nf_nat模块依赖于nf_conntrack,所以使用modprobe应该会自动处理这些依赖。也就是说,用户可能只需要运行modprobe nf_conntrack,然后再modprobe nf_nat,或者可能直接加载nf_nat,因为modprobe会自动加载依赖项。 但需要确认的是,某些系统上模块可能有不同的名称或依赖结构。例如,nf_conntrack_ipv4可能已经被更新为基于nf_conntrack的通用模块,尤其是在较新的内核版本中。因此,可能需要检查当前内核版本和模块的实际名称。 另外,根据引用[4],当卸载了相关模块后,使用iptables时会出现nat表不存在的问题,这提示nf_nat模块可能没有被加载,导致iptables无法使用NAT功能。所以加载这两个模块后,应该能恢复nat表的功能。 接下来,我需要验证一下正确的命令步骤。通常加载模块的命令是: sudo modprobe nf_conntrack sudo modprobe nf_nat 不过,可能由于依赖关系,加载nf_nat时会自动加载nf_conntrack,所以可能只需要加载nf_nat即可。但为了明确,分开加载可能更稳妥。 此外,可以使用lsmod | grep nf_conntrack和lsmod | grep nf_nat来检查模块是否已经加载。如果未加载,再执行相应的modprobe命令。 可能遇到的问题包括模块不存在或已被禁用。例如,某些内核可能将这些模块编译为内置(built-in)而非可加载模块,这时modprobe会失败。但这种情况较少见,尤其是对于标准发行版。 总结步骤应该是: 1. 加载nf_conntrack模块。 2. 加载nf_nat模块。 3. 验证是否加载成功。 此外,可能需要确认模块的配置参数,比如引用[2]提到的sysctl设置,但用户的问题仅是加载模块,可能不需要涉及这些设置。 另外,根据引用[3],nf_conntrack模块在2.6.15之后引入,用户可能使用的是较新的内核,所以模块名称应该正确。 现在需要将这些步骤以清晰的中文回答呈现,并按照用户的要求,使用正确的LaTeX格式,同时生成相关问题。 最后,确保回答中引用了正确的引用来源,比如引用[1]、[3]中提到的模块加载和卸载的相关内容。</think>要在Linux系统中加载`nf_conntrack`和`nf_nat`内核模块,可通过以下步骤实现: ### 1. 加载模块的命令 - **加载`nf_conntrack`模块**: ```bash sudo modprobe nf_conntrack ``` 该命令会加载连接跟踪模块,用于跟踪网络连接状态[^3]。 - **加载`nf_nat`模块**: ```bash sudo modprobe nf_nat ``` `nf_nat`模块依赖`nf_conntrack`,因此需先加载后者(`modprobe`会自动处理依赖,但显式加载更稳妥)。 ### 2. 验证模块加载状态 - 使用以下命令检查模块是否加载成功: ```bash lsmod | grep -E "nf_conntrack|nf_nat" ``` 若输出包含`nf_conntrack`和`nf_nat`,则表明加载成功。 ### 3. 加载依赖的其他模块(可选) 若需使用NAT功能(如iptables的`nat`表),可能需要加载相关辅助模块: ```bash sudo modprobe nf_nat_ipv4 # IPv4 NAT支持 ``` ### 4. 持久化配置(重启后生效) 若需开机自动加载模块,可将模块名添加到`/etc/modules-load.d/`配置文件中: ```bash echo "nf_conntrack" | sudo tee -a /etc/modules-load.d/nf.conf echo "nf_nat" | sudo tee -a /etc/modules-load.d/nf.conf ``` ### 注意事项 - 若模块加载失败,可能是内核未编译该模块或模块名称不匹配(需检查内核版本)[^4]。 - 加载后可通过`sysctl`调整`nf_conntrack`参数(如哈希表大小)[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值