सुरक्षित रूप से ip_conntrack_max बढ़ाना?

9

मैंने अपने लॉग में निम्नलिखित को हर बार देखा है:

कर्नेल: ip_conntrack: टेबल फुल, ड्रॉपिंग पैकेट।

वर्तमान में, मेरे पास 65536 (डिफ़ॉल्ट, RHEL5) पर ip_conntrack_max सेट है।

स्मृति उपयोग को ध्यान में रखते हुए, मैं इस मूल्य को सुरक्षित रूप से कितना बढ़ा सकता हूं? मुझे इस बॉक्स पर 4GB RAM मिली है। इस मशीन का एक कार्य एक स्थिर सामग्री सर्वर के रूप में होता है, जो संभवतः उच्च कनेक्शन मायने रखता है, और इसका मतलब यह भी है कि मैं यथासंभव कैशिंग के लिए उपयोग की जाने वाली ओएस मेमोरी रखना चाहूंगा।

इसके अलावा, निम्नलिखित दो में क्या अंतर है? / proc / sys / net / ipv4 / netfilter / ip_conntrack_max / proc / sys / net / ipv4 / ip_conntrack_max

मुझे कौन सा संपादन करना चाहिए?

धन्यवाद!

networking  iptables 
नील
स्रोत

जवाबों:

9

सबसे पहले, अपने आप से एक सवाल पूछें: क्या आपके सेटअप को कनेक्शन ट्रैकिंग की आवश्यकता है? यदि यह सिर्फ एक सर्वर है और फायरवॉलिंग / NAT कहीं और किया जाता है, तो आप संभवतः सभी को एक साथ जोड़ सकते हैं।

दूसरा, जांचें कि क्या आपकी कॉनट्रैक एंट्रीज समझ में आती हैं। कभी-कभी कुछ नेटवर्क या फ़ायरवॉल गलत कॉन्फ़िगरेशन के कारण कॉनट्रैक टेबल रबिश से भरे होते हैं। आमतौर पर उन कनेक्शनों के लिए प्रविष्टियां होती हैं जो कभी भी पूरी तरह से स्थापित नहीं हुई थीं। ऐसा तब हो सकता है जब सर्वर को आने वाले कनेक्शन SYN पैकेट मिलते हैं, लेकिन सर्वर जवाब हमेशा नेटवर्क पर कहीं खो जाता है।

केवल मशीनों में मेरे पास एक 'ip_conntrack: table full' संदेश था और जिसे ip_conntrack_max वृद्धि (कॉन्फ़िगरेशन को ठीक करने के बजाय) की आवश्यकता थी, जहां राउटर काफी बड़े नेटवर्क (हजारों समापन बिंदु) के लिए NAT कर रहे थे।

यदि आप जानते हैं कि आपको कंवर्ट की आवश्यकता है और इसे वास्तव में इससे बड़ा होना चाहिए, तो संख्या बढ़ाएँ जब तक आपको कोई 'तालिका पूर्ण' संदेश न मिले। और मेमोरी का उपयोग देखें।

कॉनट्रैक ऑब्जेक्ट्स के लिए मेमोरी एलोकेशन के बारे में कुछ आंकड़े / proc / slabinfo फाइल में पाए जा सकते हैं।

जसेक कोनीजे
स्रोत
6

"नेटफिल्टर" के साथ पथ एक ही सेटिंग को संदर्भित करने का पुराना तरीका है। आप या तो फ़ाइल को संपादित कर सकते हैं।

# बिल्ली / proc / sys / net / ipv4 / ip_conntrack_max  
655,360
# बिल्ली / proc / sys / net / ipv4 / netfilter / ip_conntrack_max
655,360
# इको ​​655361> / proc / sys / net / ipv4 / ip_conntrack_max
# बिल्ली / proc / sys / net / ipv4 / netfilter / ip_conntrack_max
655,361
BrianEss
स्रोत
Ubuntu 10.04 / 2.6.32-45- सर्वर में, केवल ipv4 / netfilter / ip_conntrack_max मौजूद है
2:19
आपका उत्तर antmeetspenguin.blogspot.tw/2011/01/…
2:33
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.