iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報を記録している。
このip_conntrackに記録できる上限数を決めているのが/proc/sys/net/ipv4/ip_conntrack_max。
アクセスが増加し、ip_conntrack_maxの値を超えてしまうと、パケットが捨てられてしまうという事態に陥る。
iptablesを再起動するとip_conntrack_maxがデフォルト値に戻ってしまうので注意
現在のip_conntrack数
CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
CentOS6
cat /proc/sys/net/netfilter/nf_conntrack_count
ip_conntrackの上限
CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
CentOS6
cat /proc/sys/net/nf_conntrack_max
上限を変える場合は/proc/sys/net/ipv4/netfilter/ip_conntrack_max を手動で書き換えるか、sysctl.confに下記を追加
CentOS5
net.ipv4.ip_conntrack_max = 327520
CentOS6
net.nf_conntrack_max = 327520