其实整体宿主机中conntrack跟踪的连接基本状态都已经是time_wait,因为上面的vm提供的都是web短连接服务,server端主动断开连接成功就会有个2MLS的time_wait,这些连接也都被track,该conntrack也会占用2分钟的时间。 这都不用并发太高的环境,比如我们的vm web每秒并发个100,2MLS的时间2分钟得生成2*60*100=12000,基本...
移除nf_conntrack 模块 $ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state $ sudo modprobe -r nf_conntrack 查看当前的连接数: grep nf_conntrack /proc/slabinfo 查出目前 nf_conntrack 的排名: cat /proc/net/nf_conntrack | cut -d ' ' -f 10 | cut -d '=' ...
通过conntrack -L与/proc/net/nf_conntrack是完全一样的,除了少了前面的两列。 下面以cat /proc/net/nf_conntrack为例进行说明: ipv42tcp625SYN_SENT src=182.168.77.7dst=42.236.9.57sport=57430dport=443[UNREPLIED] src=42.236.9.57dst=182.168.77.7sport=443dport=57430mark=0secctx=system_u:object_r:unl...
由于目前的产品是基于前一个产 品构建的,在前一个产品中,我由于一些特殊的原因将conntrack的和TCP相关的timeout都减到了足够小,比如我将TCP的 conntrack的establish的timeout减少到了120秒(默认是5天),因此断开连接时的各状态timeout更小,因此在两分钟 内,conntrack早就删除了! 此时客户端的FIN来了,由于conntrack...
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_established = 3600 3、使用裸表 添加“不跟踪”标识。如下示例更适合桌面系统或随意性强的服务器。因为它开启了连接的状态机制,方便和外部通信。 修改/etc/sysconfig/iptables 文件: ...
解决方式 cat /etc/sysctl.conf net.netfilter.nf_conntrack_max=8388608 net.netfilter.nf_conntrack_tcp_timeout_close_wait=60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait=60 net.netfilter.nf_conntrack_tcp_timeout_time_wait=60
此时,在客户端没有发送FIN之前,它处在CLOSE_WAIT状态。由于目前的产品是基于前一个产 品构建的,在前一个产品中,我由于一些特殊的原因将conntrack的和TCP相关的timeout都减到了足够小,比如我将TCP的 conntrack的establish的timeout减少到了120秒(默认是5天),因此断开连接时的各状态timeout更小,因此在两分钟 内,...
nf_conntrack_max:哈希表的最大节点个数,即nf_conntrack模块支持的最大连接数。当系统内存大于等于4 GB时,它的默认值是262144。对于处理大量连接的服务器来说,该默认值相对较小。 nf_conntrack_tcp_timeout_time_wait:nf_conntrack模...
ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout ip_conntrack_log_invalid ip_conntrack_tcp_timeout_...
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 方法三、使用祼表,添加“不跟踪”标识。如下示例更适合桌面系统或随意性强的服务器。因为它开启了连接的状态机制,方便和外部通信。修改 /etc/sysconfig/iptables 文件: *raw #对TCP连接不启用追踪,解决ip_contrack满导致无法连接的问题 ...