首页 >
系统 >
windows
iptables的conntrack表满了导致访问网站很慢
时间:2014-06-12 21:32:07 点击: 来源: 作者:
现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常 分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntr ...
现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常
分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间,一般这个 table 很大不容易占满并且可以自己清理,table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包,但是如果出现被攻击、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候,就会导致源 IP 发的这个 RST 包收不到,这样就积累在 table 里,越积累越多直到占满,满了以后 iptables 就会丢包,出现外部无法连接服务器的情况。 解决方案:Iptables启动的是会在日志里提示当前的buckets和conntrack_max的值以及每条跟踪连接需要消耗多少内存: 
也就是说304MB内存将支持1048576条跟踪连接记录,所以需要按照服务器的内存大小来配置合适的值。永久修改ip_conntrack_max和hashsize1) 增大 ip_conntrack_max(设置为 2^20,默认值是 2^16=65536)# vi /etc/sysctl.confnet.ipv4.ip_conntrack_max = 10485762) 增大 hashsize (在i386架构上,HASHSIZE = CONNTRACK_MAX / 8)# vi /etc/modprobe.confoptions ip_conntrack hashsize=131072然后重启 iptables 服务,在 messages中可以看到参数已生效:# service iptables restart
”您可通过以下微信二维码,赞赏作者“
