nf_conntrack não contém regras de firewall. É uma tabela para dados de rastreamento de conexão. Você pode ver o que há no arquivo /proc/net/ip_conntrack
Para resolver o problema com o limite nf_conntrack, considere isto:
- aumente
net.netfilter.nf_conntrack_max
enet.nf_conntrack_max
em %código% - desativa o rastreamento de conexão para determinados pacotes usando
/etc/sysctl.conf
na regra iptables
O Iptables não tem limite razoável no número de regras, porque será muito lento mesmo com alguns milhares de regras.