More than 1 year has passed since last update.

iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報を記録している。
このip_conntrackに記録できる上限数を決めているのが/proc/sys/net/ipv4/ip_conntrack_max。
アクセスが増加し、ip_conntrack_maxの値を超えてしまうと、パケットが捨てられてしまうという事態に陥る。
iptablesを再起動するとip_conntrack_maxがデフォルト値に戻ってしまうので注意

現在のip_conntrack数

CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count 

CentOS6
cat /proc/sys/net/netfilter/nf_conntrack_count

ip_conntrackの上限

CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max

CentOS6
cat /proc/sys/net/nf_conntrack_max

上限を変える場合は/proc/sys/net/ipv4/netfilter/ip_conntrack_max を手動で書き換えるか、sysctl.confに下記を追加

CentOS5

net.ipv4.ip_conntrack_max = 327520

CentOS6

net.nf_conntrack_max = 327520