स्थायी nf_conntrack_max रिबूट के पार

10

में /procमैं nf_conntrack_max के लिए दो प्रविष्टियां हैं:

/ Proc / sys / नेट / नेटफिल्टर / nf_conntrack_max
/ Proc / sys / नेट / nf_conntrack_max

एक ही मूल्य के लिए इंगित करने के लिए एक बदल रहा है के रूप में भी दूसरे को बदलता है। इन दोनों में सेट के साथ /etc/sysctl.conf:

net.netfilter.nf_conntrack_max = 65,528
net.ipv4.netfilter.ip_conntrack_max = 65535

रिबूट के बाद मूल्य 32764 रहता है इसलिए परिवर्तन काम नहीं कर रहे हैं। क्या पहले किसी का इससे सामना हुआ है? मेरा अनुमान है कि ये मान संबंधित मॉड्यूल लोड होने से पहले लागू किए जाते हैं, लेकिन उम्मीद कर रहे थे कि शायद कोई पहले से ही समाधान जानता है।

— काइल ब्रांट
स्रोत

क्या आपको कभी इसका कोई हल मिला?

— स्टु थॉम्पसन

@Stu: नहीं, मैं अभी आलसी हो गया हूं और इन्हें सेट करने के लिए एक क्रॉन जॉब लिखी है :-P

— काइल ब्रांट

11

यह इसलिए /proc/sys/net/nf_conntrack_maxहै क्योंकि मॉड्यूल पर निर्भर है nf_conntrack। लेकिन सिस्टम शुरू होने पर यह मॉड्यूल डिफ़ॉल्ट रूप से लोड नहीं होगा।

लेकिन अगर तुम दौड़ो

iptables -t nat -L

या

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

इस मॉड्यूल अधिकतम संख्या को स्वचालित रूप से और सेट लोड होगा आपके सिस्टम का समर्थन (अधिकतम संख्या 65536 अगर आप राम है> 4 जी, लेकिन यह के अलग प्रणाली में भिन्नता है।) आप में एक बड़ी संख्या के लिए सेट कर सकते हैं (6,553,600) की तरह /etc/sysctl.conf) ।

समाधान :

फ़ाइल के अंत में एक पंक्ति जोड़ें /etc/modules:

nf_conntrack

यह मॉड्यूल sysctlनिष्पादित होने से पहले सिस्टम स्टार्ट पर लोड किया जाएगा ।

— एथन जू
स्रोत

धन्यवाद :) - हालाँकि मेरे पास एक खराब कॉन्फ़िगर भी था जिसने इसे लोड करना बंद कर दिया था

— क्रिश्चियन

3

क्योंकि यह होना चाहिए:

net.netfilter.nf_conntrack_max = 65535

और अब आप इसे पुनः आरंभ किए बिना सेट कर सकते हैं: sysctl -p /etc/sysctl.conf

— मैकीज लास्क
स्रोत

2

मैं उबंटू का उपयोग नहीं करता हूं, लेकिन मेरे सेंटोस फ्रेम-ऑफ-माइंड में इस बारे में सोचकर, मैं उसी परिकल्पना के साथ आया था जो आपने किया था - sysctls बहुत जल्दी लागू किया जा रहा है। कुछ खोज से पता चला कि यह 2006 से एक दायर बग है ।

ऐसा लगता है कि एक और सिमलिंक को प्राथमिकता में रखा जा रहा है> S40 इनसाइट स्क्रिप्ट को फिर से चलाने के लिए संभवत: वही होगा जो आपको चाहिए। बग सारांश के अनुसार, ऐसा लगता है कि उबंटू सिसक्टेल कार्यप्रणाली के कुछ फिर से आर्किटेक्चरिंग क्रम में है (और, आश्चर्यजनक रूप से, बग को किसी ऐसे व्यक्ति को सौंपा गया था जो यह नहीं जानता था कि इसे सौंपा गया था और इसके साथ मदद नहीं कर सकता है)।

— इवान एंडरसन
स्रोत