介紹:nf_conntrack 工作在 3 層���,支持 IPv4 和 IPv6����,而 ip_conntrack 只支持 IPv4。目前�����,大多的 ip_conntrack_* 已被 nf_conntrack_* 取代,很多 ip_conntrack_* 僅僅是個(gè) alias�����,原先的 ip_conntrack 的 /proc/sys/net/ipv4/netfilter/ 依然存在,但是新的 nf_conntrack 在 /proc/sys/net/netfilter/ 中���,這個(gè)應(yīng)該是做個(gè)向下的兼容:
$ pwd
/proc/sys/net/ipv4/netfilter
$ ls
ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv
ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_syn_sent
ip_conntrack_count ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_syn_sent2
ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait
ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout
ip_conntrack_log_invalid ip_conntrack_tcp_timeout_fin_wait ip_conntrack_udp_timeout_stream
ip_conntrack_max ip_conntrack_tcp_timeout_last_ack
ip_conntrack_tcp_be_liberal ip_conntrack_tcp_timeout_max_retrans
$ pwd
/proc/sys/net/netfilter
$ ls
nf_conntrack_acct nf_conntrack_tcp_timeout_close
nf_conntrack_buckets nf_conntrack_tcp_timeout_close_wait
nf_conntrack_checksum nf_conntrack_tcp_timeout_established
nf_conntrack_count nf_conntrack_tcp_timeout_fin_wait
nf_conntrack_events nf_conntrack_tcp_timeout_last_ack
nf_conntrack_events_retry_timeout nf_conntrack_tcp_timeout_max_retrans
nf_conntrack_expect_max nf_conntrack_tcp_timeout_syn_recv
nf_conntrack_generic_timeout nf_conntrack_tcp_timeout_syn_sent
nf_conntrack_icmp_timeout nf_conntrack_tcp_timeout_time_wait
nf_conntrack_log_invalid nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_max nf_conntrack_udp_timeout
nf_conntrack_tcp_be_liberal nf_conntrack_udp_timeout_stream
nf_conntrack_tcp_loose nf_log/
conntrack_tcp_max_retrans
查看當(dāng)前的連接數(shù):
# grep ip_conntrack /proc/slabinfo
ip_conntrack 38358 64324 304 13 1 : tunables 54 27 8 : slabdata 4948 4948 216
查出目前 ip_conntrack 的排名:
$ cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
nf_conntrack/ip_conntrack 跟 nat 有關(guān),用來跟蹤連接條目��,它會(huì)使用一個(gè)哈希表來記錄 established 的記錄�����。nf_conntrack 在 2.6.15 被引入,而 ip_conntrack 在 2.6.22 被移除�����,如果該哈希表滿了�,就會(huì)出現(xiàn):
nf_conntrack: table full, dropping packet
解決此問題有如下幾種思路����。
1.不使用 nf_conntrack 模塊
首先要移除 state 模塊,因?yàn)槭褂迷撃K需要加載 nf_conntrack���。確保 iptables 規(guī)則中沒有出現(xiàn)類似 state 模塊的規(guī)則���,如果有的話將其移除:
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
注釋 /etc/sysconfig/iptables-config 中的:
IPTABLES_MODULES="ip_conntrack_netbios_ns"
移除 nf_conntrack 模塊:
$ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
$ sudo modprobe -r nf_conntrack
現(xiàn)在 /proc/net/ 下面應(yīng)該沒有 nf_conntrack 了����。
2.調(diào)整 /proc/ 下面的參數(shù)
可以增大 conntrack 的條目(sessions, connection tracking entries) CONNTRACK_MAX 或者增加存儲(chǔ) conntrack 條目哈希表的大小 HASHSIZE
默認(rèn)情況下,CONNTRACK_MAX 和 HASHSIZE 會(huì)根據(jù)系統(tǒng)內(nèi)存大小計(jì)算出一個(gè)比較合理的值:
對(duì)于 CONNTRACK_MAX,其計(jì)算公式:
CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)
比如一個(gè) 64 位 48G 的機(jī)器可以同時(shí)處理 48*1024^3/16384/2 = 1572864 條 netfilter 連接。對(duì)于大于 1G 內(nèi)存的系統(tǒng),默認(rèn)的 CONNTRACK_MAX 是 65535。
對(duì)于 HASHSIZE,默認(rèn)的有這樣的轉(zhuǎn)換關(guān)系:
CONNTRACK_MAX = HASHSIZE * 8
這表示每個(gè)鏈接列表里面平均有 8 個(gè) conntrack 條目�。其真正的計(jì)算公式如下:
HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 / (ARCH / 32)
比如一個(gè) 64 位 48G 的機(jī)器可以存儲(chǔ) 48*1024^3/131072/2 = 196608 的buckets(連接列表)�����。對(duì)于大于 1G 內(nèi)存的系統(tǒng),默認(rèn)的 HASHSIZE 是 8192���。
可以通過 echo 直接修改目前系統(tǒng) CONNTRACK_MAX 以及 HASHSIZE 的值:
$ sudo su -c "echo 100000 > /proc/sys/net/netfilter/nf_conntrack_max"
$ sudo su -c "echo 50000 > /proc/sys/net/netfilter/nf_conntrack_buckets"
還可以縮短 timeout 的值:
$ sudo su -c "echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established"
3.使用 raw 表�����,不跟蹤連接
iptables 中的 raw 表跟包的跟蹤有關(guān)���,基本就是用來干一件事�����,通過 NOTRACK 給不需要被連接跟蹤的包打標(biāo)記����,也就是說�����,如果一個(gè)連接遇到了 -j NOTRACK��,conntrack 就不會(huì)跟蹤該連接�����,raw 的優(yōu)先級(jí)大于 mangle, nat, filter���,包含 PREROUTING 和 OUTPUT 鏈�。
當(dāng)執(zhí)行 -t raw 時(shí),系統(tǒng)會(huì)自動(dòng)加載 iptable_raw 模塊(需要該模塊存在)�����。raw 在 2.4 以及 2.6 早期的內(nèi)核中不存在�,除非打了 patch�,目前的系統(tǒng)應(yīng)該都有支持:
$ sudo iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
$ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --dport 80,81,82 -j NOTRACK
$ sudo iptables -t raw -A OUTPUT -p tcp -m multiport --sport 80,81,82 -j NOTRACK
上面三種方式,最有效的是 1 跟 3����,第二種治標(biāo)不治本�。
參考文檔:
http://www.digipedia.pl/usenet/thread/16263/7806/
http://serverfault.com/questions/72366/how-do-i-disable-the-nf-conntrack-kernel-module-in-centos-5-3-without-recompilin
http://wiki.khnet.info/index.php/Conntrack_tuning
