kernel: nf_conntrack: table full, dropping packet

末鹿安然 提交于 2019-12-17 03:20:39

今晚系统割接,在修改组件配置重启服务后,主机夯住了,操作系统命令无法执行,主机无法正常登录

将组件服务停止后,又恢复正常

查看主机mesg信息,有大量的kernel异常信息

kernel: nf_conntrack: table full, dropping packet

这是iptables的报错信息“连接跟踪表已满,开始丢包” 

通过ss查看socket使用情况

Total: 5281 (kernel 5488)
TCP:   3070 (estab 3031, closed 13, orphaned 0, synrecv 0, timewait 12/0), ports 1182

  

解决方法:

1、关闭iptables ,但安全要求,必须启用iptables安全策略

2、加大iptables跟踪表大小,调整对应的系统参数

net.netfilter.nf_conntrack_max = 655360
net.nf_conntrack_max = 655360

nf_conntrack_max 默认65536,在/etc/sysctl.conf中修改这两个参数值,调大十倍

启动服务程序正常

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!