Persistindo nf_conntrack_max entre reinicializações

9

Em /proc , tenho duas entradas para nf_conntrack_max:

/proc/sys/net/netfilter/nf_conntrack_max
/proc/sys/net/nf_conntrack_max

Parece que o mesmo valor que mudar um também muda o outro. Com ambos definidos em /etc/sysctl.conf :

net.netfilter.nf_conntrack_max=65528
net.ipv4.netfilter.ip_conntrack_max=65535

O valor permanece 32764 após uma reinicialização, portanto, as alterações não estão funcionando. Alguém já se deparou com isso antes? Meu palpite seria que esses valores fossem aplicados antes que os módulos relevantes fossem carregados, mas esperavam que talvez alguém já soubesse a solução.

    
por Kyle Brandt 18.07.2010 / 14:32

3 respostas

9

é porque /proc/sys/net/nf_conntrack_max depende do módulo nf_conntrack . mas este módulo não será carregado por padrão quando o sistema for iniciado.

mas se você correr

iptables -t nat -L

ou

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

este módulo será carregado automaticamente e definido para o número máximo que seu sistema suporta (o número máximo é 65536 se você for ram> 4G, mas ele varia em um sistema diferente.) você pode configurá-lo para um número maior (como 6553600) em /etc/sysctl.conf ).

Solução :

adicione uma linha no final do arquivo /etc/modules :

nf_conntrack

este módulo seria carregado no início do sistema antes de sysctl ser executado.

    
por 19.03.2015 / 15:07
2

Porque deveria ser:

net.netfilter.nf_conntrack_max = 65535

E agora você pode definir isso sem reiniciar: sysctl -p /etc/sysctl.conf

    
por 20.07.2012 / 12:57
2

Eu não uso o Ubuntu, mas pensando nisso no meu ponto de vista do CentOS, eu criei a mesma hipótese que você fez - os sysctls estão sendo aplicados muito cedo. Algumas pesquisas revelaram que isso tem sido um bug registrado desde 2006 .

Parece colocar outro link simbólico em prioridade > O S40 para executar o script init do procps provavelmente faria o que você precisa. De acordo com o resumo do bug, parece que alguma re-arquitetura da metodologia sysctl do Ubuntu está em ordem (e, divertidamente, o bug foi atribuído a alguém que não sabia que estava designado e não pode ajudar com isso).

    
por 18.07.2010 / 22:55