নিরাপদে আইপ_কন্ট্র্যাক_ম্যাক্স বাড়িয়ে দিচ্ছেন?

9

আমি আমার লগে প্রতিটি প্রায়শই ঘন ঘন নিম্নলিখিতটি দেখতে পেয়েছি:

কার্নেল: ip_conntrack: টেবিল পূর্ণ, প্যাকেট ছাড়ছে।

বর্তমানে, আমি ip_conntrack_max 65536 এ সেট হয়েছি (ডিফল্ট, RHEL5)।

মেমরির ব্যবহার মাথায় রেখে, আমি নিরাপদে এই মানটি কতটা বাড়াতে পারি? আমি এই বাক্সে 4 জিবি র‌্যাম পেয়েছি। এই মেশিনটি যে কাজ করে সেগুলির মধ্যে একটি হ'ল স্থিতিশীল কন্ট্রোল সার্ভার হিসাবে, যা সম্ভবত উচ্চ সংযোগের পরিসংখ্যান ব্যাখ্যা করে এবং এর অর্থ আমিও যতটা সম্ভব ও ক্যাশিংয়ের জন্য ব্যবহৃত ওএস মেমরির বেশি রাখতে চাই।

এছাড়াও, নিম্নলিখিত দুটি মধ্যে পার্থক্য কি? / proc / sys / নেট / ipv4 / নেটফিল্টার / ip_conntrack_max / proc / sys / নেট / ipv4 / আইপি_কন্ট্র্যাক_ম্যাক্স

আমার কোনটি সম্পাদনা করা উচিত?

ধন্যবাদ!

networking  iptables 
নিল
সূত্র

উত্তর:

9

প্রথমে নিজেকে একটি প্রশ্ন জিজ্ঞাসা করুন: আপনার সেটআপটির জন্য কি সংযোগ ট্র্যাকিং প্রয়োজন? যদি এটি কেবল একটি সার্ভার হয় এবং ফায়ারওয়ালিং / NAT অন্য কোথাও করা হয়, তবে আপনি সম্ভবত সমস্ত একসাথে কনট্র্যাক অক্ষম করতে পারেন।

দ্বিতীয়ত, আপনার কনট্র্যাক এন্ট্রিগুলি অর্থবোধ করে কিনা তা পরীক্ষা করে দেখুন। কিছু নেটওয়ার্ক বা ফায়ারওয়াল ভুল কনফিগারেশনের কারণে কখনও কখনও কনট্র্যাক টেবিলগুলি আবর্জনায় ভরা হয়। সাধারণত সেগুলি সংযোগের জন্য এন্ট্রি যা কখনও সম্পূর্ণরূপে প্রতিষ্ঠিত হয়নি। এটি ঘটতে পারে যেমন সার্ভার যখন ইনকামিং সংযোগ এসওয়াইএন প্যাকেট পেয়ে থাকে তবে সার্ভারের জবাব সর্বদা নেটওয়ার্কের কোথাও হারিয়ে যায়।

কেবলমাত্র মেশিনে আমার কাছে একটি 'ip_conntrack: টেবিল পূর্ণ' বার্তা ছিল এবং যার জন্য ip_conntrack_max বৃদ্ধি (কনফিগারেশন স্থির করার পরিবর্তে) দরকার ছিল, যেখানে রাউটারগুলি বেশ বড় নেটওয়ার্কের (হাজার হাজার এন্ডপয়েন্টস) জন্য NAT করছে।

যদি আপনি জানেন যে আপনার কনট্র্যাক দরকার এবং এটি সত্যের চেয়ে বড় হওয়া দরকার, যতক্ষণ না আপনি 'টেবিল পূর্ণ' বার্তা না পান ততক্ষণ সংখ্যাটি বৃদ্ধি করুন। এবং স্মৃতি ব্যবহার দেখুন।

কনট্র্যাক অবজেক্টের জন্য মেমরি বরাদ্দ সম্পর্কে কিছু পরিসংখ্যান / proc / slabinfo ফাইলে পাওয়া যাবে।

জেসেক কোননিজনি
সূত্র
6

"নেটফিল্টার" সহ পাথটি একই সেটিংসের উল্লেখ করার পুরানো উপায়। আপনি উভয় ফাইল সম্পাদনা করতে পারেন।

# বিড়াল / proc / sys / নেট / ipv4 / ip_conntrack_max  
655360
# বিড়াল / proc / sys / নেট / ipv4 / নেট ফিল্টার / ip_conntrack_max
655360
# প্রতিধ্বনি 655361> / proc / sys / নেট / ipv4 / আইপি_কন্ট্র্যাক_ম্যাক্স
# বিড়াল / proc / sys / নেট / ipv4 / নেট ফিল্টার / ip_conntrack_max
655361
BrianEss
সূত্র
উবুন্টু 10.04 / 2.6.32-45-সার্ভারে, কেবল
আইপিভি
আপনার উত্তর antmeetspenguin.blogspot.tw/2011/01/…
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.