首页 > 系统运维 > 高并发服务器重启iptables要小心
您的足迹
  • 你没有浏览过任何文章或者你没有开启cookies。

高并发服务器重启iptables要小心

最近有台服务器因iptables规则需要调整,但重启过后网络立马就不通了。不通之后查看了/var/log/messages发现有如下报错 :cry:

 

Jun 10 10:18:57 dl1JZV33X kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
Jun 10 10:18:57 dl1JZV33X kernel: nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:11 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: __ratelimit: 8330 callbacks suppressed
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.
Jun 10 10:19:16 dl1JZV33X kernel: nf_conntrack: table full, dropping packet.

原来iptables跟踪记录表满了,

我们看到第一行,重启iptables之后nf_conntrack值变成65535了,查看了系统sysctl 参数这两个值并不是65535, 上网搜索发现很多遇到这个问题,这可能是个bug
临时解决方法:

1.尽量不要重启iptables

2.重启iptables,重启之后执行

sysctl -w "net.netfilter.nf_conntrack_max=655350"
sysctl -w "net.netfilter.nf_conntrack_tcp_timeout_established=600"

重新手动指定跟踪表最大值

3.最重要的是防火墙要和LB分开,业务真的不能都混在一起,太容易出问题了。。。
参考文档:

http://hi.baidu.com/higkoo/item/1014ff9eab79fa1d924f41ef

 


相关博文

  1. bing1178 2014/09/29 上午 11:55 | #1

    net.nf_conntrack_max 只要这个 值设置对了 和 重启不重启 iptables 没有关系吧

    • Moon 2015/01/17 下午 5:34 | #2

      这个设置在sysctl里面或直接用 echo写一下都是可以的,是系统参数 ,和重启iptables没关系

评论提交中, 请稍候...

留言

可以使用的标签: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackbacks & Pingbacks ( 0 )
  1. 还没有 trackbacks
Feed