A tabela conntrack no meu servidor tem mais de 1,2 milhão de conexões, eu continuo aumentando o limite, mas a tabela continua crescendo (mas não monotonicamente - às vezes diminui).
$ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count
1278865
Isto é verdade apesar do fato de que o netstat é bastante razoável:
$ netstat -ant | wc -l
908
Estou executando o Debian com o Kernel 2.6.32-5-amd64. Eu entendo que a tabela conntrack mantém informações de conexão recentes e, portanto, espera-se que seja maior que netstat, mas esse comportamento ainda parece bastante extremo! A caixa está sendo usada principalmente como um servidor web, e o mod_python no Apache está sendo usado para lidar com conexões. Não deve haver conexões fora destes. Não há excesso de mod_python threads em execução (ps -ef parece normal, top parece normal), e os logs de erro do Apache e mod_python parecem normais. (Não consigo postar informações detalhadas do log de erros por motivos de privacidade).
Em ip_conntrack, os endereços IP parecem ser distribuídos de forma justa e na porta 443 (como seria de se esperar com um servidor web que serve exclusivamente via HTTPS). Não tenho certeza do que pode estar causando as conexões IP descontroladas e não consigo encontrar informações na Internet, sugerindo que esse seja um problema conhecido. Existe uma configuração do Apache ou qualquer coisa que possa ser o culpado? Outras ideias? Muito obrigado.
Para responder à sua pergunta, você pode definir net.netfilter.nf_conntrack_tcp_timeout_established em sysctl.conf. O padrão é como 5 dias, o que pode ser drasticamente reduzido sem afetar o provável 443 tráfego. net.ipv4.netfilter.ip_conntrack_max também pode ser acelerado.
Para ver o rastreamento em novos kernels, você precisa instalar o pacote "conntrack" e fazer um conntrack -L . Você verá a lista da tabela conntrack. O arquivo "/ proc / net / ip_conntrack" está obsoleto.