(na verdade eu fiz essa resposta em outro lugar, achei que fosse o mesmo site)
de acordo com estes:
link (não atualizado)
Pode ser possível que o cliente (talvez móvel) fechou primeiro, não esperou o FIN / ACK final e nunca enviou seu ACK final, ou talvez o servidor tenha respondido muito tarde e o cliente em si tenha um firewall ou qualquer outro caso de resposta lenta ...
Assim, o servidor tenta novamente, além de um temporizador ( sysctl net.netfilter.nf_conntrack_tcp_timeout_last_ack
), mas o netfilter caiu o estado antes que a pilha tcp real o derrube.
você deve pegar traços e ver se tem pacotes duplicados, por exemplo.
A segunda regra é um subconjunto da primeira regra, por isso é inútil. Tente aumentar os valores de várias configurações de tcp_timeout ( sysctl -w net.netfilter....
ou echo XX > /proc/sys/net/netfilter/...
) e veja se esses logs desaparecem. Eu configurei isso por razões semelhantes no passado e "resolvi" alguns logs misteriosos do netfilter. Isso pode aumentar o uso de memória do conntrack.