小编Mat*_*arp的帖子

“nf_conntrack: table full, drop packet”即使 nf_conntrack_count 远小于 nf_conntrack_max

我的集群中有一个节点，它在系统日志中收到大量“nf_conntrack：表已满，正在丢弃数据包”消息。我检查了 nf_conntrack_count 并且它正对 nf_conntrack_max 运行。查看该表，我看到大部分条目都是 DNS 请求，因此我将这些规则添加到“原始”netfilter 表中。

$ sudo iptables -t raw -vnL
Chain PREROUTING (policy ACCEPT 146M packets, 19G bytes)
pkts bytes target     prot opt in     out     source               destination
33M 4144M CT         udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 CT notrack
33M 2805M CT         udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 CT notrack
Chain OUTPUT (policy ACCEPT 73M packets, 8311M bytes)
pkts bytes target     prot opt in     out     source               destination         
10785  882K CT         udp  --  * …

Run Code Online (Sandbox Code Playgroud)

iptables conntrack

Mat*_*arp

lucky-day

2
推荐指数

1
解决办法

6599
查看次数

标签统计

conntrack ×1

iptables ×1

“nf_conntrack: table full, drop packet”即使 nf_conntrack_count 远小于 nf_conntrack_max

标签 统计

小编Mat_arp的帖子

标签统计