nf-凯发k8官方旗舰厅

腾讯视频/爱奇艺/优酷/外卖 充值4折起

介绍:nf_conntrack 工作在 3 层,支持 ipv4 和 ipv6,而 ip_conntrack 只支持 ipv4。目前,大多的 ip_conntrack_* 已被 nf_conntrack_* 取代,很多 ip_conntrack_* 仅仅是个 alias,原先的 ip_conntrack 的 /proc/sys/net/ipv4/netfilter/ 依然存在,但是新的 nf_conntrack 在 /proc/sys/net/netfilter/ 中,这个应该是做个向下的兼容:

复制代码

代码如下:

$ pwd
/proc/sys/net/ipv4/netfilter
$ ls
ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv
ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_syn_sent
ip_conntrack_count ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_syn_sent2
ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait
ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout
ip_conntrack_log_invalid ip_conntrack_tcp_timeout_fin_wait ip_conntrack_udp_timeout_stream
ip_conntrack_max ip_conntrack_tcp_timeout_last_ack
ip_conntrack_tcp_be_liberal ip_conntrack_tcp_timeout_max_retrans
$ pwd
/proc/sys/net/netfilter
$ ls
nf_conntrack_acct nf_conntrack_tcp_timeout_close
nf_conntrack_buckets nf_conntrack_tcp_timeout_close_wait
nf_conntrack_checksum nf_conntrack_tcp_timeout_established
nf_conntrack_count nf_conntrack_tcp_timeout_fin_wait
nf_conntrack_events nf_conntrack_tcp_timeout_last_ack
nf_conntrack_events_retry_timeout nf_conntrack_tcp_timeout_max_retrans
nf_conntrack_expect_max nf_conntrack_tcp_timeout_syn_recv
nf_conntrack_generic_timeout nf_conntrack_tcp_timeout_syn_sent
nf_conntrack_icmp_timeout nf_conntrack_tcp_timeout_time_wait
nf_conntrack_log_invalid nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_max nf_conntrack_udp_timeout
nf_conntrack_tcp_be_liberal nf_conntrack_udp_timeout_stream
nf_conntrack_tcp_loose nf_log/
conntrack_tcp_max_retrans

查看当前的连接数:

复制代码

代码如下:

# grep ip_conntrack /proc/slabinfo
ip_conntrack 38358 64324 304 13 1 : tunables 54 27 8 : slabdata 4948 4948 216

查出目前 ip_conntrack 的排名:

复制代码

代码如下:

$ cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

nf_conntrack/ip_conntrack 跟 nat 有关,用来跟踪连接条目,它会使用一个哈希表来记录 established 的记录。nf_conntrack 在 2.6.15 被引入,而 ip_conntrack 在 2.6.22 被移除,如果该哈希表满了,就会出现:

复制代码

代码如下:

nf_conntrack: table full, dropping packet

解决此问题有如下几种思路。

1.不使用 nf_conntrack 模块
首先要移除 state 模块,因为使用该模块需要加载 nf_conntrack。确保 iptables 规则中没有出现类似 state 模块的规则,如果有的话将其移除:
-a input -m state –state related,established -j accept

注释 /etc/sysconfig/iptables-config 中的:

复制代码

代码如下:

iptables_modules="ip_conntrack_netbios_ns"

移除 nf_conntrack 模块:

复制代码

代码如下:

$ sudo modprobe -r xt_notrack nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
$ sudo modprobe -r nf_conntrack

现在 /proc/net/ 下面应该没有 nf_conntrack 了。

2.调整 /proc/ 下面的参数
可以增大 conntrack 的条目(sessions, connection tracking entries) conntrack_max 或者增加存储 conntrack 条目哈希表的大小 hashsize
默认情况下,conntrack_max 和 hashsize 会根据系统内存大小计算出一个比较合理的值:
对于 conntrack_max,其计算公式:
conntrack_max = ramsize (in bytes) / 16384 / (arch / 32)
比如一个 64 位 48g 的机器可以同时处理 48*1024^3/16384/2 = 1572864 条 netfilter 连接。对于大于 1g 内存的系统,默认的 conntrack_max 是 65535。

对于 hashsize,默认的有这样的转换关系:
conntrack_max = hashsize * 8
这表示每个链接列表里面平均有 8 个 conntrack 条目。其真正的计算公式如下:
hashsize = conntrack_max / 8 = ramsize (in bytes) / 131072 / (arch / 32)
比如一个 64 位 48g 的机器可以存储 48*1024^3/131072/2 = 196608 的buckets(连接列表)。对于大于 1g 内存的系统,默认的 hashsize 是 8192。

可以通过 echo 直接修改目前系统 conntrack_max 以及 hashsize 的值:

复制代码

代码如下:

$ sudo su -c "echo 100000 > /proc/sys/net/netfilter/nf_conntrack_max"
$ sudo su -c "echo 50000 > /proc/sys/net/netfilter/nf_conntrack_buckets"

还可以缩短 timeout 的值:

复制代码

代码如下:

$ sudo su -c "echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established"

3.使用 raw 表,不跟踪连接
iptables 中的 raw 表跟包的跟踪有关,基本就是用来干一件事,通过 notrack 给不需要被连接跟踪的包打标记,也就是说,如果一个连接遇到了 -j notrack,conntrack 就不会跟踪该连接,raw 的优先级大于 mangle, nat, filter,包含 prerouting 和 output 链。
当执行 -t raw 时,系统会自动加载 iptable_raw 模块(需要该模块存在)。raw 在 2.4 以及 2.6 早期的内核中不存在,除非打了 patch,目前的系统应该都有支持:
$ sudo iptables -a forward -m state --state untracked -j accept
$ sudo iptables -t raw -a prerouting -p tcp -m multiport --dport 80,81,82 -j notrack
$ sudo iptables -t raw -a output -p tcp -m multiport --sport 80,81,82 -j notrack

上面三种方式,最有效的是 1 跟 3,第二种治标不治本。

参考文档:
http://www.digipedia.pl/usenet/thread/16263/7806/
http://serverfault.com/questions/72366/how-do-i-disable-the-nf-conntrack-kernel-module-in-centos-5-3-without-recompilin
http://wiki.khnet.info/index.php/conntrack_tuning

09/11 00:18
那么,为什么会出现 ip_conntrack: table full, dropping packet 呢?iptables 使用一张连接跟踪表,来描述连接状态,当这张表满了,就会在日志里面写入该信息。这可能有点难以理解,那么到底在什么情况下,我们需要在日志里面查找这条记录呢? 当你发现,ping 服务器的结果,出现丢包,或者出现延迟不稳定,忽高忽低,在排除线路因素之后,就应当考虑 ip_conntrack: table full, dropping packet 。 下面介绍 ip_connt
03/16 07:19
相信很多朋友们在使用win7系统或者win8/win8.1系统时往往都会遇到一些无线网络连接错误问题,针对这些问题,百事网小编给大家汇总了win7/win8/win8.1无线网络连接受限故障及解决思路供大家参考。 网络受限 思路一:检查网络及路由器信号是否畅通 首先,确认网络是否欠费,无线路由器线路连接是否良好,无线网络信号发射是否正常。 如果确定是路由器的问题,不妨重启路由器或者恢复路由器的设置为出厂状态。 同时,如果可以,请更新无线路由器固件和计算机的无线网络适配器驱动程序为最新版本。 思路
04/04 08:59
打印机重影现象和原因 打印机重影现象一般出现在激光打印机上面,在打印出来的文档中的文字会在隔一段距离后重复出现(可能比原来的更淡),根据激光打印机成像过程,打印机重影问题一般出现在转印环节和定影环节 激光打印机重影的解决思路 1、转印环节 激光打印机中的转印指的是在鼓芯上形成静电潜像的碳数在转印高压下从鼓芯到纸张的过程。如果转印出现故障(比如转印电压不对),会导致碳粉不能完全的转印到纸上,随着鼓芯的转动,在下一周期就同样有这部分静电潜像的图像部分转到纸上,这就造成了激光打印机重影的现象。 解决方
04/07 22:06
win7/8启动0xc000025故障解决,win7启动黑屏故障解决,win7启动bcd损坏故障解决. 故障错误信息描述: 复制代码 代码如下: windows failed to start. a recent hardware or software change might be the cause. to fix the problem: 1.insert your windows installation disc and restart your computer. 2.choose
08/01 19:27
网吧无线路由器为什么经常掉线? 有时候掉线原因也会由无线路由器自身引起的,下面小编就来一一说明。 1、宽带问题 如上面介绍的一些症状。 解决思路:自己能解决的问题自行解决,不能解决的找isp客服人员。此外,为避免浪费带宽,某些局域网/共享式宽带接入的isp可能会设置无操作下线时限,如果用户长时间不操作,线路上没有业务流量,isp会自动断线。当然,如果是由无线路由器设置造成,可把无线路由器tcp等待状态超时设置小一些(重拨),把wan空闲超时断线设置大一些即可。 2、病毒原因 网络中有电脑感染了病
05/01 14:56
1、检查声卡、连接线,以及音箱等设备是否连接正常;运行杀毒软件进行杀毒; 2、右击“我的电脑”----“属性”---“硬件”----“设备管理器”,打开“声音、视频和游戏控制器”有无问题,即看前面有没有出现黄色的“ ” 如有,重新安装这个设备的驱动程序进行解决; 3、有声音但不见小喇叭时,打开控制面板----声音和视频设备----音量,在“将音量图标放入任务栏”前打上对号; 4、无声音又无小喇叭时,打开控制面板----添加与删除程序----添加删除windows组件,在“附件和工具”
05/05 10:43
买了台索尼的电脑,网卡是realtek pcie gbe的。 买了个路由器是tp-link的,根据说明书上登录192.168.1.1进行设置无线 连接名称、联网用户名、密码,就ok了。 索尼电脑连无线是可以连上的,有线就是连不上,报651错误,其他电脑也是 可以连上的,开始一直以为是网卡驱动问题,更新驱动问题还是没解决。 后来发现连索尼这台电脑路由器对应的网络端口没有亮,心里有点嘀咕了, 怕是网卡问题,同一跟网线,其他电脑都ok. 索性把网络接口对换插了下,路由器的灯亮了,看样子有希望了。 重新

winrar 右键解压菜单失效问题的解决思路分析

04/29 00:25
今天早上一起床,看看下载完的软件(rar格式的),但是我按照往常操作一样,点击右键选择解压到某个文件夹的时候,突然发现竟然菜单点击了没有反应,一想奇怪了,怎么会没有反应了,我一直用的都没有问题,怎么突然没有反应了呢?而且,我的图片预览菜单也不能用了,用acdsee打开的菜单选项也不见了,奇怪ing... 接着,我就想是不是昨天安装了最新版本的winrar8.0有bug?所以,就卸载掉8.0并删除安装文件夹重新安装3.71的版本,重启...,还是没用,那么是不是我昨天升级了超级兔子有问题,卸载掉超
12/07 21:24
如果能查到到底是写入了什么数据,也许问题就能得到解决,于是使用treesize对硬盘进行扫描 扫描后发现,administrator用户下的临时文件夹高达2g。。。并且都是网页,js,图片等小文件,原来是由于这个原因,导致系统…… 负责采集的备用机器,近日登陆后突然非常卡。使用任务管理器发现内存和cpu都非常空闲,于是使用性能监控对硬盘,内存和cpu进行监控 一般情况下,性能监视器只要看三个指标 pages/sec:一般超过小几十就说明内存存在瓶颈,具体的指标含义是指为解决硬页错误从磁盘读取或写
网站地图