kernel: ip_conntrack: table full, dropping packet.

解决方法：

1. 更改ip_conntrack大小

# /etc/sysctl.conf 

Centos5.x：

modprobe ip_conntrack

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=10800

sysctl -w net.ipv4.netfilter.ip_conntrack_max=655350

Centos6.x：

nf_conntrack_ipv4

sysctl -w net.netfilter.nf_conntrack_max=655350

sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800

# sysctl -p使其生效

重新应用规则时会清空已经加载的模块，因此每次iptables重启后，都要执行一遍sysctl -p，ip_conntrack满的隐患还是存在的。

2. 不加载ip_conntrack/nf_conntrack模块

修改 /etc/sysconfig/iptables-config配置文件

# vim /etc/sysconfig/iptables-config 

IPTABLES_MODULES=""

/etc/sysconfig/iptables 不要配置状态的规则, 如：

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEP