linux中会有一个模块用于跟踪IP的连接情况 ip_conntrack,但是这个表的容量是有限制的,一般情况下和内存有关。
当链接过多的时候系统就会报错ip_conntrack: table full, dropping packet,可以修改/proc/sys/net/ipv4/netfilter/ip_conntrack_max;
有时候会发现/proc下没有这个目录,这时候是由于这个模块挂载有问题,而RH5和RH6下模块名也不一样
可修改/etc/sysctl.conf 然后sysctl -p生效。
net.nf_conntrack_max = 655360
net.netfilter.nf_conntrack_tcp_timeout_established = 36000
net.ipv4.ip_conntrack_max = 655350
在内核内存中netfilter可以同时处理的“任务”(连接跟踪条目)
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 10800
跟踪的连接超时结束时间