iptables查询自动加载nf_conntrack模块引起故障

背景：

ip_conntrack是linux NAT的一个跟踪连接条目的模块,与Iptables相关，ip _conntrack模块会使用一个哈希表记录 tcp 通讯协议的 established connection记录，当这个哈希表满了的时候，便会导致nf_conntrack: table full, dropping packet错误。

在防火墙关闭状态下，不要通过iptables指令（比如 iptables -nL）来查看当前状态！因为这样会导致防火墙被启动，而且规则为空。虽然不会有任何拦截效果，但所有连接状态都会被记录，浪费资源且影响性能并可能导致防火墙主动丢包！

测试：

1、防火墙在关闭状态下，使用iptables命令，会导致防火墙被启动：

2、通过iptables命令，防火墙被启动时，规则是为空的，不会像正常启动那样存在规则：

解决：

1、nf_conntrack: table full, dropping packet问题的解决方法：

引用：http://www.cnblogs.com/higkoo/articles/iptables_tunning_for_conntrack.html

问题：

1、iptables启动不了，且没有任何报错：

排查后发现原因是缺少iptables文件（/etc/sysconfig/iptables）

解决方法：添加一条iptables规则 ：sudo iptables -A INPUT -i eth0 -p tcp -s 11.11.11.11 -j DROP （自动生成/etc/sysconfig/iptables文件）