Durante o teste de carga, meu servidor está descartando pacotes devido ao "rastreamento de conexão" antes de ficar sem recursos. Estou usando o Ubuntu Jaunty com o ufw. No meu syslog eu recebo:
ip_conntrack: table full, dropping packet.
Eu olhei para aumentar o tamanho máximo da tabela de conexão, mas não sei de uma vantagem para rastrear essas conexões nessas portas. Eu gostaria de saber como usar o ufw para dizer para não rastrear pedidos para a porta 80 e 443.
Esclarecimento
Obrigado.
O rastreamento de conexão é uma chave liga / desliga, você não pode desativá-lo seletivamente para algum tipo de tráfego. Você deve aumentar o número de conexões controladas através das opções varius nf_conntrack_max em /proc/sys/net . Você também pode considerar a ativação de syncookies para reduzir os efeitos de congestionamento.
Editar : Parece que o iptables com -j NOTRACK permite que você desabilite o rastreamento de conexão seletivamente.
iptables -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -A PREROUTING -p tcp --dport 443 -j NOTRACK
desativará o rastreamento de conexão apenas para essas portas.
Você NAT? Eu acredito que sem o ip_conntrack você não pode NAT.