Ne uităm dmesg. pur ca o măsură preventivă, vom găsi o mulțime de mesaje în forma: nf_conntrack: masă plină, în scădere de pachete.
De la numele este clar cine este sursa de banc de nisip - iptables firewall. cu excepția cazului în punctul în mod specific cu degetul, apoi nf_conntrack. Unul dintre modulele netfilter. urmărirea stării conexiunilor de rețea și pachete de clasificare, acești compuși aparțin. De exemplu, modulul netfilter detectează condiții, cum ar fi:
- NOU - pachete SYN stabilirea conexiunii;
- STABILIT - pachete care aparțin unei conexiuni existente;
- Conexe - pachete pentru a crea un nou compus pe baza unui (FTP pasiv) deja existente;
- INVALID - înseamnă că pachetul aparține oricărui tip de conexiune nu a fost stabilită;
De exemplu, o pereche de reguli de firewall full-time în Linux - iptables. utilizați acest modul:
Toate datele sunt stocate în tabele nf_conntrack și mesajul de mai sus indică faptul că tabelele sunt pline.
Ne uităm la ceea ce avem acolo pe defoltu:
debian: / # sysctl -a | grep conntrack_max
net.netfilter.nf_conntrack_max = 65536
net.nf_conntrack_max = 65536
Se pare că nu este suficient, un pic de configurare a recuperat kernel-ul Linux:
Problema cu iptables ar trebui să dispară.
Multumesc! Funcționează!
Cum de a crea un ecou „net.netfilter.nf_conntrack_max = 1048576“ >> /etc/sysctl.conf pentru a lucra după o repornire?
dacă este scris în sysctl, acesta va funcționa după o repornire
Ea nu a funcționat. dar recordul a fost în dosar, așa că am crea unul. în fișierul /etc/rc.local. umplute -p sysctl.
Ei bine, pe scurt, omul am fost chiar un cui la ciocan nu ar avea încredere.
om al seriei - „oricum, și așa vin în jos!“ (Hack)
în / etc / module este necesar să se adauge, în scopul de a forța modulul pentru a încărca parametrii de timp de boot nucleu ale sysctl.conf considerat altfel va implicit