Yeniden Başlatmalar Arasında Kalıcı nf_conntrack_max

In /procben nf_conntrack_max için iki giriş vardır:

/ Proc / sys / net / Netfilter / nf_conntrack_max
/ Proc / sys / net / nf_conntrack_max

Birinin değiştirilmesi ile aynı değere işaret ettiği görülüyor, diğerini de değiştiriyor. Bunların her ikisi de /etc/sysctl.conf:

net.netfilter.nf_conntrack_max = 65.528
net.ipv4.netfilter.ip_conntrack_max = 65535

Yeniden başlatma işleminden sonra değer 32764 olarak kalır, bu nedenle değişiklikler çalışmaz. Daha önce birisi bunun üzerinde çalıştı mı? Benim tahminim, bu değerler ilgili modüller yüklenmeden önce uygulanır, ancak belki de birisinin çözümü zaten biliyor olduğunu umuyordum.

çünkü /proc/sys/net/nf_conntrack_maxmodüle güveniyor nf_conntrack. ancak sistem başlatıldığında bu modül varsayılan olarak yüklenmez.

ama koşarsan

iptables -t nat -L

veya

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

bu modül otomatik olarak yüklenecek ve sistem desteğinizin maksimum sayısına ayarlanacaktır (eğer ram> 4G ise maksimum sayı 65536'dır, ancak farklı sistemde değişir.) daha büyük bir sayıya (6553600 gibi) ayarlayabilirsiniz /etc/sysctl.conf) .

Çözüm :

dosyanın sonuna bir satır ekleyin /etc/modules:

nf_conntrack

bu modüller sysctlyürütülmeden önce sistem başlangıcında yüklenir .

Çünkü olmalı:

net.netfilter.nf_conntrack_max = 65535

Ve şimdi bunu yeniden başlatmadan ayarlayabilirsiniz: sysctl -p /etc/sysctl.conf

Ubuntu kullanmıyorum, ama bunu CentOS aklım çerçevesinde düşünerek, yaptığınız hipotezle geldim - sysctl'ler çok erken uygulanıyor. Bazı araştırmalar bunun 2006'dan beri dosyalanmış bir hata olduğunu ortaya koydu .

Procps init betiğini tekrar çalıştırmak için öncelik> S40'a başka bir symlink koymak muhtemelen ihtiyacınız olanı yapar. Hata özeti uyarınca, Ubuntu sysctl metodolojisinin bazılarının yeniden yapılandırılması uygun görünüyor (ve eğlenceli bir şekilde, hata atandığını bilmeyen ve yardımcı olamayan birine atandı).