ip_conntrack_count possui muitas conexões

3

A tabela conntrack no meu servidor tem mais de 1,2 milhão de conexões, eu continuo aumentando o limite, mas a tabela continua crescendo (mas não monotonicamente - às vezes diminui).

$ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
1278865

Isto é verdade apesar do fato de que o netstat é bastante razoável:

$ netstat -ant | wc -l
908

Estou executando o Debian com o Kernel 2.6.32-5-amd64. Eu entendo que a tabela conntrack mantém informações de conexão recentes e, portanto, espera-se que seja maior que netstat, mas esse comportamento ainda parece bastante extremo! A caixa está sendo usada principalmente como um servidor web, e o mod_python no Apache está sendo usado para lidar com conexões. Não deve haver conexões fora destes. Não há excesso de mod_python threads em execução (ps -ef parece normal, top parece normal), e os logs de erro do Apache e mod_python parecem normais. (Não consigo postar informações detalhadas do log de erros por motivos de privacidade).

Em ip_conntrack, os endereços IP parecem ser distribuídos de forma justa e na porta 443 (como seria de se esperar com um servidor web que serve exclusivamente via HTTPS). Não tenho certeza do que pode estar causando as conexões IP descontroladas e não consigo encontrar informações na Internet, sugerindo que esse seja um problema conhecido. Existe uma configuração do Apache ou qualquer coisa que possa ser o culpado? Outras ideias? Muito obrigado.

    
por Dan 09.04.2013 / 09:33

2 respostas

4

Para responder à sua pergunta, você pode definir net.netfilter.nf_conntrack_tcp_timeout_established em sysctl.conf. O padrão é como 5 dias, o que pode ser drasticamente reduzido sem afetar o provável 443 tráfego. net.ipv4.netfilter.ip_conntrack_max também pode ser acelerado.

    
por 03.09.2013 / 07:11
0

Para ver o rastreamento em novos kernels, você precisa instalar o pacote "conntrack" e fazer um conntrack -L . Você verá a lista da tabela conntrack. O arquivo "/ proc / net / ip_conntrack" está obsoleto.

    
por 09.04.2013 / 10:38