ip_conntrack: tabel penuh, menjatuhkan paket

linux shell

Dari waktu ke waktu pada server yang sibuk dengan volume koneksi jaringan yang tinggi adalah mungkin untuk menemukan bahwa tabel konkon kernel Anda penuh, web mulai berjalan lambat, sama seperti gambar dan semua konten terkait. Jika Anda melihat log, Anda mungkin menemukan kesalahan kernel ini:

ip_conntrack: tabel penuh, menjatuhkan paket

Kernel linux menggunakan ip_conntrack untuk menjaga pelacakan status setiap koneksi jaringan, dan jika aktivitas jaringan Anda besar, Anda dapat mengakhiri dengan tabel penuh entri, saat itulah kesalahan ini terjadi.

Kesalahan ini dapat ditemukan dalam banyak cara:

Mencari keluaran dmesg

dmesg | grep conntrack

Tailing file log pesan secara real time

tail -f / var / log / messages | grep conntrack

Melakukan grep seluruh

grep conntrack / var / log / messages

Bagaimanapun, setelah Anda menemukan kesalahan, Anda perlu menjalankan beberapa perintah untuk memahami mengapa ini terjadi dan bagaimana memperbaikinya. Mari kita mulai:

wc -l / proc / net / ip_conntrack

Akan memberi tahu Anda berapa banyak koneksi yang terbuka sekarang.

sysctl -a | grep conntrack_max

Akan menghasilkan apa batas conntrack, misalnya:

net.ipv4.netfilter.ip_conntrack_max = 65536

Bagaimana saya bisa menaikkan nilai ip_conntrack?

nano -w /etc/sysctl.conf

Pada CentOS 6.x Anda mungkin perlu menambahkan variabel ini:

net.nf_conntrack_max = 165536

Pada CentOS 5.x dan sebelumnya coba dengan ini:

net.ipv4.netfilter.ip_conntrack_max = 165536

Simpan file dan jalankan perintah ini untuk menerapkan perubahan:

sysctl -p

Jika Anda mendapatkan kesalahan semacam ini:

kesalahan: "net.nf_conntrack_max" adalah kesalahan kunci yang tidak diketahui: "net.ipv4.ip_conntrack_max" adalah kunci yang tidak dikenal

Itu berarti modul conntrack tidak dimuat di kernel Anda, cobalah untuk memuatnya secara manual menggunakan modprobe, misalnya:

modprobe nf_conntrack

Kemudian terapkan perubahan:

sysctl -p

Ingatlah untuk mengawasi log sistem dan menontonnya dari waktu ke waktu untuk melihat apakah ada ip_conntrack baru: tabel penuh, menjatuhkan kesalahan paket, Anda mungkin perlu memasukkan nilai lebih tinggi dalam beberapa kasus.

Posting terkait

Tinggalkan Balasan

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.