iptables的conntrack表满了导致访问网站很慢

转载自:https://my.oschina.net/jean/blog/189935

检查系统conntrack表是否满

现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常

分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间,一般这个 table 很大不容易占满并且可以自己清理,table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包,但是如果出现被攻击、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候,就会导致源 IP 发的这个 RST 包收不到,这样就积累在 table 里,越积累越多直到占满,满了以后 iptables 就会丢包,出现外部无法连接服务器的情况。

解决方案:Iptables启动的是会在日志里提示当前的buckets和conntrack_max的值以及每条跟踪连接需要消耗多少内存:
kernel: ip_conntrack version 2.4(8192 buckets ,65536 max) - 304 bytes per conntrack

解决问题:

方案一:

不要使用iptables,就不会有这种问题,当然那不太安全

方案二:

通过修改hashsize从而修改nf_conntrack_max(内核2.6.19及以前的ip_conntrack_max)

但要注意这个数值并非随意设定,要根据实际内存的情况,原则如下:

HASHSIZE = CONNTRACK_MAX / 8 = RAMSIZE (in bytes) / 131072 = RAMSIZE (in MegaBytes) * 8

内存大小比如2048M,hashsize = 2048*8 =16384,通常我在这个数值进行相对保守的设定,会在这个基础上再乘以0.75,也就是hashsize = 2048*8*0.75 = 12288

centos 6.1 (内核 2.6.19)及以前

echo "options ip_conntrack hashsize=12288" >> /etc/modprobe.conf
centos 6.1 (内核 2.6.19)以后

echo "options nf_conntrack hashsize=12288" >> /etc/modprobe.d/local.conf
然后重启服务器

iptables的conntrack表满了导致访问网站很慢相关推荐

  1. 服务器的防火墙禁止了对指定通讯端口的访问,使用iptables限制访问网站指定端口...

    Linux用得比较少,所以对iptables也不是很熟悉,最近部署网站,因为对外的80端口是通过nginx转发,而内部程序都是类似8080.3000之类的端口,不做处理的情况下,很可能会看到如:地址w ...

  2. 解决服务器80端口监听异常导致无法打开和访问网站的问题

    转载:原文章地址:解决服务器80端口监听异常导致无法打开和访问网站的问题 - 爱码网 如果遇到IIS服务器的网站无法访问,并在IE/EDGE浏览器中显示无法显示此页的问题,一般情况下是有多种可能因素, ...

  3. 解决老安卓系统根证书缺失或过期导致的网站访问错误及软件运行问题. 2023-03-05

    测试机型: 证书来源机型: IQOO neo3(安卓12) 目标机型: 国美u7(安卓7.1) 和 酷派y91(安卓5.1) 1.对于单纯的浏览器访问https出现的证书问题,可以选择承担风险继续访问 ...

  4. DNS原因导致的不能访问网站问题一例

    友情提示:大家可以了解下以下在这次问题解决中用到的一些技术名词: 智能DNS和BGP了.双线及策略路由. 公司的业务发展很快,在偶的老家郑州市和河南建业合作开了新的房产项目,而且二七塔附近的华联商厦亦 ...

  5. StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全

    http://www.freehao123.com/startssl-ssl/ 昨天写了更换空间后重新安装Godaddy SSL的文章,突然想到了一直有朋友向部落提到的StartSSL免费SSL证书服 ...

  6. 客户端访问网站的整个流程图_如何阻止整个国家访问您的网站

    客户端访问网站的整个流程图 Trending posts on SitePoint today: 今天在SitePoint上的热门帖子: What is HTTP/2? 什么是HTTP / 2? Ta ...

  7. linux 防火墙 阻止ip_linux iptables防火墙如何禁止指定IP访问

    一般来说网站都是流量越多就越开心,不过也不是所有流量都这么受欢迎的.比如说攻击你的流量,再比如说采集器的流量,这些流量对你的网站没半点好处,除了拖累你的服务器,还白白占用你大量的带宽,更是影响正常访客 ...

  8. iptables之mangle表应用实现策略路由+(案例)

    原始出处  http://lansgg.blog.51cto.com/5675165/1222679 iptables之mangle表应用实现策略路由: 前面的文章已经讲解了:mangle表主要用于修 ...

  9. 细说:用户访问网站流程

    用户访问网站的基本流程 一次访问浏览网页的完整过程 第一步:客户端用户从浏览器输入www.baidu.com网站网址后回车,系统会查询本地hosts文件及DNS缓存信息,查找是否存在网址对应的IP解析 ...

最新文章

  1. python进制表示方法_python 16进制表示什么
  2. 送餐送货机器人、自动驾驶车、扫地机器人,再也不用担心撞上玻璃橱窗了丨CVPR2020...
  3. 【学习笔记】产品成本计划(Product Cost Planning)02
  4. php 跳转网页 变量,php变量与JS变量实现不通过跳转直接交互的方法
  5. 校宝在线携手神策数据 数据赋能产品服务体验双升级
  6. Response笔记
  7. servlet ---- 案例(简单)优化
  8. 如何走技术路线的研究生论文?
  9. 蛮牛第2季- Unity2d游戏开发经典教程
  10. UDP丢包替代:用PCAP实现C/C++以太网SDR吞吐
  11. 对静态页面的一些理解
  12. Emlog大表哥资源网模板
  13. 解决Minimum supported Gradle version is 4.6. Current version is 2.4.0
  14. primordials is not defined错误,正确的解决方案 亲测 完美 好用
  15. golang--channal与select
  16. linux查询打印机ip,Linux C打印IP地址信息
  17. python点击按钮打开游戏_Python如何入门?直接按这个方式玩炸弹超人小游戏,就能掌握编程...
  18. 智胜软件测试自学,青果查成绩平台APP
  19. 想学习影视后期,影视后期行业怎么样?影视后期前景如何、薪资怎么样?
  20. AVI 文件格式分析

热门文章

  1. Weighted distance in sklearn KNN
  2. POJ 1190 生日蛋糕 【DFS + 极限剪枝】
  3. django项目mysql中文编码问题
  4. create-react-native-app
  5. 【转】C++中this指针的用法详解
  6. 研究javascript中的this
  7. 2008年北大核心有效期 计算机类核心(2011-01-31 15:02:46)
  8. winserver2008 Oracle 11g 安装
  9. [Ext JS 4] 实战Chart 协调控制(单一的坐标,两个坐标)
  10. 【Nginx】epoll事件驱动模块