那么，為什么會出現(xiàn) ip_conntrack: table full, dropping packet 呢？iptables 使用一張連接跟蹤表，來描述連接狀態(tài)，當這張表滿了，就會在日志里面寫入該信息。這可能有點難以理解，那么到底在什么情況下，我們需要在日志里面查找這條記錄呢？

當你發(fā)現(xiàn)，PING 服務器的結(jié)果，出現(xiàn)丟包，或者出現(xiàn)延遲不穩(wěn)定，忽高忽低，在排除線路因素之后，就應當考慮 ip_conntrack: table full, dropping packet 。

下面介紹 ip_conntrack: table full, dropping packet 的解決方法：

CentOS 6 /RHEL 5 下的解決方法：

1.運行




2.在 /etc/sysctl 中加入：




3.使其生效：




CentOS 6 /RHEL 6 下的解決方法：

1.運行




2.在 /etc/sysctl 中加入：




3.使其生效：




*** 如果 Xen DomU 出現(xiàn)零星丟包或者 PING 忽高忽低，同時關(guān)閉 iptables 后 ping 正常，則多半是這個問題。

或參考下面的方法試試

一。服務器出現(xiàn)了大量的丟包現(xiàn)象,通過查看message出現(xiàn)了下面的錯誤：
kernel:ip_conntrack:table full,dropping packet

解決的方法：


二
有兩點我們要注意.

-conntrack最大數(shù)量.叫做conntrack_max
-存儲這些conntrack的hash表的大小,叫做hashsize
當conntrack入口數(shù)大于conntrack_max時,在hash表中每一個conntrack list中的存儲的入口將不可控.(conntrack_mark/hashsize 為每個list所能存儲的入口的數(shù)量)
hash表存在于固定的的不可swap的內(nèi)存中. conntrack_mark決定占用多少這些不可swap的內(nèi)存.
缺省的hashsize
——————————–
conntrack_max=hashsize*8
i386中 hashsize=conntrack_max/8=ramsize(in bytes)/131072=ramsize(in MegaBytes)*8.
所以32位pc,512M內(nèi)存可以存512*1024^2/128/1024=512*8=4096(連接池list)
但是正確的算法是:
hashsize=conntrack_max/8=ramsize(in bytes)/131072/(x/32)
x表示使用的指針類型是(32位還是64的)
—————————-\
讀取conntrack_max值
2．4內(nèi)核
cat /proc/sys/net/ipv4/ip_conntrack_max
2．6內(nèi)核
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max

讀取hashsize值
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets
——————————
你可修改這兩個值以適應高負載的netfilter的應用
系統(tǒng)默認為conntrack_max:hashsize是8:1,你可以設(shè)成1:1以提高性能.
————————-
設(shè)置conntrack_max
echo $CONNTRACK_MAX > /proc/sys/net/ipv4/ip_conntrack_max
設(shè)置hashsize
如果(netfilter conntrack靜態(tài)編譯在內(nèi)核中),2.4中可以在編譯時設(shè)置,2.6可以在啟動中(boot時)加入ip_conntrack.hashsize=$hashsize
如果為modules,則可以使用 modprobe ip_conntrack hashsize=$hashsize
#####################################
實踐過方法：
Vi /etc/modprobe.conf
添加：
options ip_conntrack hashsize=524288

vi /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_max = 524288 (根據(jù)自己的物理內(nèi)存算出來的)
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
##########################################
————————–
conntrack使用的內(nèi)存計算
size_of_mem_used_by_conntrack (in bytes) =
CONNTRACK_MAX * sizeof(struct ip_conntrack) +
HASHSIZE * sizeof(struct list_head)
其中sizeof(struct ip_conntrack)大概在192-352字節(jié)之間.
sizeof(struct list_head) = 2 * size_of_a_pointer(i386中為4字節(jié))
一個例子512m內(nèi)存,使用384m來用于conntrack則
384*1024*1024/(352+8)(使用它是保守計算) =~1143901 (此為conntrack:hashszie為1:1,352為sizeof(ip_conntrack),8為sizeof(list_head).
由于hash最好設(shè)為2的乘方的數(shù),所以為1048576(2^20).
———————
附相關(guān)設(shè)置及命令:
ip_conntrack timeout 原值432000秒(5天)
可改為10小時,echo “600″ > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
ip_conntrack buffer使用情況
grep conn /proc/slabinfo
例ip_conntrack 188069 229570 336 11 1 : tunables 54 27 8 : slabdata 20870

相關(guān)修改：
echo “1024 65000″ > /proc/sys/net/ipv4/ip_local_port_range
echo “100 1200 128 512 15 5000 500 1884 2″>/proc/sys/vm/bdflush
echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo “1″ > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo “1048576″ > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo “1″ > /proc/sys/net/ipv4/ip_forward
echo “268435456″ >/proc/sys/kernel/shmall
echo “536870912″ >/proc/sys/kernel/shmmax
echo “600″ > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo “1024″ > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo “2048″ > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo “4096″ > /proc/sys/net/ipv4/neigh/default/gc_thresh3
echo “52428800″ > /proc/sys/net/ipv4/route/max_size
echo “1″ > /proc/sys/net/ipv4/conf/all/proxy_arp
echo “1″ > /proc/sys/net/ipv4/tcp_window_scaling

最新評論