kernel: nf_conntrack: table full, dropping packet

今晚系统割接,在修改组件配置重启服务后,主机夯住了,操作系统命令无法执行,主机无法正常登录

将组件服务停止后,又恢复正常

查看主机mesg信息,有大量的kernel异常信息

kernel: nf_conntrack: table full, dropping packet

这是iptables的报错信息“连接跟踪表已满,开始丢包” 

通过ss查看socket使用情况(停业务后)

Total: 5281 (kernel 5488)
TCP:   3070 (estab 3031, closed 13, orphaned 0, synrecv 0, timewait 12/0), ports 1182

  

解决方法:

1、关闭iptables ,但安全要求,必须启用iptables安全策略

2、加大iptables跟踪表大小,调整对应的系统参数

net.netfilter.nf_conntrack_max = 655360
net.nf_conntrack_max = 655360

nf_conntrack_max 默认65536,在/etc/sysctl.conf中修改这两个参数值,调大十倍

Total: 146262 (kernel 146338)
TCP:   143817 (estab 143634, closed 156, orphaned 0, synrecv 0, timewait 155/0), ports 1161  

启动服务程序正常

你可能感兴趣的:(kernel: nf_conntrack: table full, dropping packet)