Nós atualizamos recentemente para o Ubuntu 16.04 (kernel 4.4) e notei um novo comportamento em relação a net.netfilter.nf_conntrack_max . No passado (com o 12.04 executando 3.2), se você atingisse nf_conntrack_max , não conseguiria estabelecer nenhuma nova conexão. No entanto, tenho feito alguns testes com o SYN flooding e com a proteção SYNPROXY DDoS. Descobri que depois de atingir nf_conntrack_max por meio de uma inundação SYN, ainda posso estabelecer conexões com o servidor.
Usar o SYNPROXY mantém a tabela conntrack nas conexões estabelecidas, mas com ou sem ela ainda posso me conectar ao servidor sem problemas.
Alguém tem alguma informação sobre isso?
Me deparei com ouvintes TCP sem bloqueio em 4.4:
Estou pensando se isso faz parte disso.
Se a reutilização das portas estiver ativada e / ou o modo não bloqueado nos soquetes das conexões, então você poderá se conectar mesmo se o limite for excedido, o que será virtualmente excedido, na verdade não ... verifique também o firewall se existe um filtro sobre inundação