解決 nf_conntrack: table full, dropping packet 的幾種思路

nf_conntrack 工做在 3 層，支持 IPv4 和 IPv6，而 ip_conntrack 只支持 IPv4。目前，大多的 ip_conntrack_* 已被 nf_conntrack_* 取代，不少 ip_conntrack_* 僅僅是個 alias，原先的 ip_conntrack 的 /proc/sys/net/ipv4/netfilter/ 依然存在，可是新的 nf_conntrack 在 /proc/sys/net/netfilter/ 中，這個應該是作個向下的兼容：
$ pwd
/proc/sys/net/ipv4/netfilter
$ ls
ip_conntrack_buckets          ip_conntrack_tcp_loose                ip_conntrack_tcp_timeout_syn_recv
ip_conntrack_checksum         ip_conntrack_tcp_max_retrans          ip_conntrack_tcp_timeout_syn_sent
ip_conntrack_count            ip_conntrack_tcp_timeout_close        ip_conntrack_tcp_timeout_syn_sent2
ip_conntrack_generic_timeout  ip_conntrack_tcp_timeout_close_wait   ip_conntrack_tcp_timeout_time_wait
ip_conntrack_icmp_timeout     ip_conntrack_tcp_timeout_established  ip_conntrack_udp_timeout
ip_conntrack_log_invalid      ip_conntrack_tcp_timeout_fin_wait     ip_conntrack_udp_timeout_stream
ip_conntrack_max              ip_conntrack_tcp_timeout_last_ack
ip_conntrack_tcp_be_liberal   ip_conntrack_tcp_timeout_max_retrans

$ pwd
/proc/sys/net/netfilter
$ ls
nf_conntrack_acct                  nf_conntrack_tcp_timeout_close
nf_conntrack_buckets               nf_conntrack_tcp_timeout_close_wait
nf_conntrack_checksum              nf_conntrack_tcp_timeout_established
nf_conntrack_count                 nf_conntrack_tcp_timeout_fin_wait
nf_conntrack_events                nf_conntrack_tcp_timeout_last_ack
nf_conntrack_events_retry_timeout  nf_conntrack_tcp_timeout_max_retrans
nf_conntrack_expect_max            nf_conntrack_tcp_timeout_syn_recv
nf_conntrack_generic_timeout       nf_conntrack_tcp_timeout_syn_sent
nf_conntrack_icmp_timeout          nf_conntrack_tcp_timeout_time_wait
nf_conntrack_log_invalid           nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_max                   nf_conntrack_udp_timeout
nf_conntrack_tcp_be_liberal        nf_conntrack_udp_timeout_stream
nf_conntrack_tcp_loose             nf_log/
conntrack_tcp_max_retrans

查看當前的鏈接數：
# grep ip_conntrack /proc/slabinfo
ip_conntrack       38358  64324    304   13    1 : tunables   54   27    8 : slabdata   4948   4948    216

查出目前 ip_conntrack 的排名：
$ cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

nf_conntrack/ip_conntrack 跟 nat 有關，用來跟蹤鏈接條目，它會使用一個哈希表來記錄 established 的記錄。nf_conntrack 在 2.6.15 被引入，而 ip_conntrack 在 2.6.22 被移除，若是該哈希表滿了，就會出現：
nf_conntrack: table full, dropping packet

解決此問題有以下幾種思路。

1.不使用 nf_conntrack 模塊
首先要移除 state 模塊，由於使用該模塊須要加載 nf_conntrack。確保 iptables 規則中沒有出現相似 state 模塊的規則，若是有的話將其移除：
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

註釋 /etc/sysconfig/iptables-config 中的：
IPTABLES_MODULES="ip_conntrack_netbios_ns"

移除 nf_conntrack 模塊：
$ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
$ sudo modprobe -r nf_conntrack

如今 /proc/net/ 下面應該沒有 nf_conntrack 了。

2.調整 /proc/ 下面的參數
能夠增大 conntrack 的條目(sessions, connection tracking entries) CONNTRACK_MAX 或者增長存儲 conntrack 條目哈希表的大小 HASHSIZE
默認狀況下，CONNTRACK_MAX 和 HASHSIZE 會根據系統內存大小計算出一個比較合理的值：
對於 CONNTRACK_MAX，其計算公式：
CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)
好比一個 64 位 48G 的機器能夠同時處理 48*1024^3/16384/2 = 1572864 條 netfilter 鏈接。對於大於 1G 內存的系統，默認的 CONNTRACK_MAX 是 65535。

對於 HASHSIZE，默認的有這樣的轉換關係：
CONNTRACK_MAX = HASHSIZE * 8
這表示每一個連接列表裏面平均有 8 個 conntrack 條目。其真正的計算公式以下：
HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (ARCH / 32)
好比一個 64 位 48G 的機器能夠存儲 48*1024^3/131072/2 = 196608 的buckets(鏈接列表)。對於大於 1G 內存的系統，默認的 HASHSIZE 是 8192。

能夠經過 echo 直接修改目前系統 CONNTRACK_MAX 以及 HASHSIZE 的值：
$ sudo su -c "echo 100000 > /proc/sys/net/netfilter/nf_conntrack_max"
$ sudo su -c "echo 50000 > /proc/sys/net/netfilter/nf_conntrack_buckets"

還能夠縮短 timeout 的值：
$ sudo su -c "echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established"

3.使用 raw 表，不跟蹤鏈接
iptables 中的 raw 表跟包的跟蹤有關，基本就是用來幹一件事，經過 NOTRACK 給不須要被鏈接跟蹤的包打標記，也就是說，若是一個鏈接遇到了 -j NOTRACK，conntrack 就不會跟蹤該鏈接，raw 的優先級大於 mangle, nat, filter，包含 PREROUTING 和 OUTPUT 鏈。
當執行 -t raw 時，系統會自動加載 iptable_raw 模塊(須要該模塊存在)。raw 在 2.4 以及 2.6 早期的內核中不存在，除非打了 patch，目前的系統應該都有支持:
$ sudo iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
$ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --dport 80,81,82 -j NOTRACK
$ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --sport 80,81,82 -j NOTRACK

上面三種方式，最有效的是 1 跟 3，第二種治標不治本。

ref:http://www.digipedia.pl/usenet/thread/16263/7806/http://serverfault.com/questions/72366/how-do-i-disable-the-nf-conntrack-kernel-module-in-centos-5-3-without-recompilinhttp://wiki.khnet.info/index.php/Conntrack_tuning