最新消息:

解决nf_conntrack: table full, dropping packet

Linux ipcpu 5613浏览

一、nf_conntrack概述

nf_conntrack (老版本名称叫ip_conntrack)是Netfilter框架里面用来记录一个数据包和其连接关系的模块。

Neftiler为了实现基于数据连接状态侦测的状态防火墙功能和NAT地址转换功能才开发出了连接跟踪这套机制。

如果编译内核时开启了连接跟踪选项,那么Linux系统就会为它收到的每个数据包维持一个连接状态用于记录这条数据连接的状态。

nf_conntrack/ip_conntrack 会使用一个哈希(hash)散列表来记录所有数据包连接信息。如果该哈希表满了,就会出现:

  1. nf_conntrack: table full, dropping packet

注意TIPS
nf_conntrack 工作在 3 层,支持 IPv4 和 IPv6,而 ip_conntrack 只支持 IPv4。
目前,大多的 ip_conntrack_* 已被 nf_conntrack_* 取代

二、nf_conntrack的查看

查看当前的跟踪的连接和连接状态:

  1. $ cat /proc/net/nf_conntrack
  2. ipv4 2 tcp 6 44 TIME_WAIT src=220.181.43.108 dst=221.206.12.110 sport=50721 dport=54321 src=221.206.12.110 dst=220.181.43.108 sport=54321 dport=50721 [ASSURED] mark=0 secmark=0 use=2
  3. ipv4 2 tcp 6 44 TIME_WAIT src=220.181.43.108 dst=220.181.143.73 sport=9804 dport=8071 src=220.181.143.73 dst=220.181.43.108 sport=8071 dport=9804 [ASSURED] mark=0 secmark=0 use=2
  4. ipv4 2 tcp 6 49 SYN_SENT src=220.181.43.108 dst=122.228.238.168 sport=42915 dport=873 [UNREPLIED] src=122.228.238.168 dst=220.181.43.108 sport=873 dport=42915 mark=0 secmark=0 use=2

三、解决nf_conntrack: table full, dropping packet的方法

3.1 卸载 nf_conntrack 模块

首先要移除 state 模块,因为使用该模块需要加载 nf_conntrack。
确保 iptables 规则中没有出现类似 state 模块的规则,如果有的话将其移除

  1. -A INPUT -m state state RELATED,ESTABLISHED -j ACCEPT

注释 /etc/sysconfig/iptables-config 中的:

  1. IPTABLES_MODULES="ip_conntrack_netbios_ns"

移除 nf_conntrack 模块:

  1. $ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
  2. $ sudo modprobe -r nf_conntrack

现在 /proc/net/ 下面应该没有 nf_conntrack 了。

3.2 调整内核参数

可以增大 conntrack 的条目(sessions, connection tracking entries) CONNTRACK_MAX 或者增加存储 conntrack 条目哈希表的大小 HASHSIZE

对于 HASHSIZE,默认的有这样的转换关系:
CONNTRACK_MAX = HASHSIZE * 8
这表示每个链接列表里面平均有 8 个 conntrack 条目。其真正的计算公式如下:
HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (ARCH / 32)
比如一个 64 位 48G 的机器可以存储 48*1024^3/131072/2 = 196608 的buckets(连接列表)。
对于大于 1G 内存的系统,默认的 HASHSIZE 是 8192。
可以通过 echo 直接修改目前系统 CONNTRACK_MAX 以及 HASHSIZE 的值:

  1. $ sudo su -c "echo 100000 > /proc/sys/net/netfilter/nf_conntrack_max"
  2. $ sudo su -c "echo 50000 > /proc/sys/net/netfilter/nf_conntrack_buckets"

当然为了使重启能够生效,最好加在/etc/modprobe.d/nf_conntrack.conf

  1. options nf_conntrack hashsize=32768

3.3 使用 raw 表,不跟踪连接

iptables 中的 raw 表跟包的跟踪有关,基本就是用来干一件事,通过 NOTRACK 给不需要被连接跟踪的包打标记,也就是说,如果一个连接遇到了 -j NOTRACK,conntrack 就不会跟踪该连接,raw 的优先级大于 mangle, nat, filter,包含 PREROUTING 和 OUTPUT 链。
当执行 -t raw 时,系统会自动加载 iptable_raw 模块(需要该模块存在)。raw 在 2.4 以及 2.6 早期的内核中不存在,除非打了 patch,目前的系统应该都有支持:

  1. $ sudo iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
  2. $ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --dport 80,81,82 -j NOTRACK
  3. $ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --sport 80,81,82 -j NOTRACK

推荐使用第三种方式。

参考资料

http://blog.chinaunix.net/uid-23069658-id-3169450.html
http://jaseywang.me/2012/08/16/%E8%A7%A3%E5%86%B3-nf_conntrack-table-full-dropping-packet-%E7%9A%84%E5%87%A0%E7%A7%8D%E6%80%9D%E8%B7%AF/
https://www.panwenbin.com/2010/09/05/procnetip_conntrack/
http://www.361way.com/%E5%86%8D%E7%9C%8Bnf_conntrack-table-full%E9%97%AE%E9%A2%98/2404.html

转载请注明:IPCPU-网络之路 » 解决nf_conntrack: table full, dropping packet