Primeiro, faça a si mesmo uma pergunta: sua configuração exige o acompanhamento de conexões? Se for apenas um servidor e o firewall / NAT for feito em outro lugar, provavelmente você poderá desativar o conntrack todos juntos.
Em segundo lugar, verifique se as entradas do conntrack fazem sentido. Às vezes, as tabelas do conntrack estão cheias de lixo por causa de alguma configuração incorreta da rede ou do firewall. Geralmente, essas são entradas para conexões que nunca foram totalmente estabelecidas. Isso pode acontecer, e. quando o servidor recebe pacotes SYN de conexão de entrada, mas as respostas do servidor são sempre perdidas em algum lugar da rede.
As únicas máquinas que eu tinha uma mensagem 'ip_conntrack: table full' e que precisava de ip_conntrack_max aumentavam (em vez de corrigir a configuração), onde os roteadores faziam NAT para redes bastante grandes (milhares de endpoints).
Se você sabe que precisa de conntrack e realmente precisa ser maior do que é, aumente o número até não receber mais mensagens 'table full'. E observe o uso da memória.
Algumas estatísticas sobre alocação de memória para objetos conntrack podem ser encontradas no arquivo / proc / slabinfo.