22
20

More than 5 years have passed since last update.

ip conntrack

Posted at

iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報を記録している。
このip_conntrackに記録できる上限数を決めているのが/proc/sys/net/ipv4/ip_conntrack_max。
アクセスが増加し、ip_conntrack_maxの値を超えてしまうと、パケットが捨てられてしまうという事態に陥る。
iptablesを再起動するとip_conntrack_maxがデフォルト値に戻ってしまうので注意

現在のip_conntrack数

CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count 

CentOS6
cat /proc/sys/net/netfilter/nf_conntrack_count

ip_conntrackの上限

CentOS5
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max

CentOS6
cat /proc/sys/net/nf_conntrack_max

上限を変える場合は/proc/sys/net/ipv4/netfilter/ip_conntrack_max を手動で書き換えるか、sysctl.confに下記を追加

CentOS5

net.ipv4.ip_conntrack_max = 327520

CentOS6

net.nf_conntrack_max = 327520
22
20
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
22
20