เพิ่ม ip_conntrack_max อย่างปลอดภัยหรือไม่

ฉันเห็นสิ่งต่อไปนี้ในบันทึกของฉันทุกครั้ง:

เคอร์เนล: ip_conntrack: ตารางเต็มวางแพ็คเก็ต

ขณะนี้ฉันตั้งค่า ip_conntrack_max เป็น 65536 (ค่าเริ่มต้นคือ RHEL5)

คำนึงถึงการใช้หน่วยความจำฉันสามารถเพิ่มค่านี้ได้อย่างปลอดภัยเท่าใด ฉันมี RAM 4GB ในกล่องนี้ หนึ่งในฟังก์ชั่นที่เครื่องนี้ทำหน้าที่เป็นเซิร์ฟเวอร์เนื้อหาแบบสแตติกซึ่งอาจอธิบายการเชื่อมต่อที่มีจำนวนมากและยังหมายความว่าฉันต้องการเก็บหน่วยความจำระบบปฏิบัติการที่ใช้สำหรับการแคชให้ได้มากที่สุด

นอกจากนี้ความแตกต่างระหว่างสองสิ่งต่อไปนี้คืออะไร / proc / sys / net / ipv4 / netfilter / ip_conntrack_max / proc / sys / net / ipv4 / ip_conntrack_max

ฉันควรแก้ไขอะไร

ขอบคุณ!

ก่อนอื่นถามคำถามกับตัวเอง: การตั้งค่าของคุณจำเป็นต้องมีการติดตามการเชื่อมต่อหรือไม่? หากเป็นเพียงเซิร์ฟเวอร์และไฟร์วอลล์ / NAT ถูกทำที่อื่นคุณอาจปิดใช้งานการเชื่อมต่อทั้งหมดเข้าด้วยกัน

ประการที่สองตรวจสอบว่ารายการควบคุมของคุณสมเหตุสมผลหรือไม่ บางครั้งตาราง conntrack จะเต็มไปด้วยขยะเนื่องจากการกำหนดค่าเครือข่ายหรือไฟร์วอลล์บางอย่างผิดพลาด โดยปกติจะเป็นรายการสำหรับการเชื่อมต่อที่ไม่ได้รับการยอมรับอย่างสมบูรณ์ อาจเกิดขึ้นเช่นเมื่อเซิร์ฟเวอร์ได้รับการเชื่อมต่อขาเข้า SYN แพ็คเก็ต แต่เซิร์ฟเวอร์ตอบกลับจะหายไปที่ไหนสักแห่งในเครือข่าย

เครื่องเดียวที่ฉันมีข้อความ 'ip_conntrack: table full' และต้องการ ip เพิ่มขึ้น ip_conntrack_max (แทนที่จะแก้ไขการกำหนดค่า) ซึ่งเราเตอร์กำลังทำ NAT สำหรับเครือข่ายขนาดใหญ่ (ปลายทางนับพัน)

ถ้าคุณรู้ว่าคุณต้องควบคุมและมันก็จำเป็นที่จะต้องมีขนาดใหญ่กว่าที่เป็นจริงเพิ่มจำนวนจนกว่าคุณจะไม่ได้รับข้อความ 'ตารางเต็ม' เพิ่มเติม และดูการใช้งานหน่วยความจำ

สถิติบางอย่างเกี่ยวกับการจัดสรรหน่วยความจำสำหรับวัตถุ conntrack สามารถพบได้ในไฟล์ / proc / slabinfo

เส้นทางที่มี "netfilter" เป็นวิธีเก่า ๆ ในการอ้างถึงการตั้งค่าเดียวกัน คุณสามารถแก้ไขไฟล์ได้

# cat / proc / sys / net / ipv4 / ip_conntrack_max  
655360
# cat / proc / sys / net / ipv4 / netfilter / ip_conntrack_max
655360
# echo 655361> / proc / sys / net / ipv4 / ip_conntrack_max
# cat / proc / sys / net / ipv4 / netfilter / ip_conntrack_max
655361