ip_conntrack_max 參數的修改方法及卸載linux內核的 ip_conntrack 模塊

時間 2020-01-01

標籤 conntrack max 參數修改方法卸載 linux 內核模塊欄目 Linux 简体版

原文原文鏈接

1、概念

－容許的最大跟蹤鏈接條目：CONNTRACK_MAX（默認值是 2^16=65536 ）
－存儲跟蹤鏈接條目列表的哈西表的大小：HASHSIZE
－每一個哈西表的條目（叫一個bucket），包含了一個連接起來的跟蹤鏈接條目
－哈希表大小HASHSIZE，表現爲條目bucket的多少，在iptables啓動時在日誌中會顯示。linux

圖表形象解釋：ios

例如，系統默認配置下，啓動 iptables 時的信息以下：架構

ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack

2、實戰：調大 conntrack_max 參數（2.4內核）

1）增大 hashsize （在i386架構上，HASHSIZE = CONNTRACK_MAX / 8）tcp

# vi /etc/modprobe.conf
 options ip_conntrack hashsize=131072

而後重啓 iptables 服務，在 sysctl -a | grep conntrack中能夠看到參數已生效(自動調整爲哈希表大小的8倍)ide

因此不要在/etc/sysctl.conf中設置如下兩項的值：
net.ipv4.netfilter.ip_conntrack_max　net.ipv4.ip_conntrack_max spa

如上均是參考網上資料的,以下是本身心得.net

3、卸載linux內核的 ip_conntrack 模塊
ip_conntrack模塊是跟蹤tcp 會話中establish new 這些狀態的.
只有當iptables 的規則裏沒有寫 -m state 狀態的話,才能夠卸載(不然卸載失敗)
在 /etc/sysconfig/iptables-config 文件裏刪除或者註釋掉 ip_conntrack_netbios_ns, 後重啓iptable服務便可生效日誌