nf_conntrack2 Conntrack 방지 방법 (ip_conntrack 제한값) 다음은 /var/log/messages 의 내용이다. Netfilter의 conntrack 하나당 228 byte가 필요하고 최대 32760개가 가능하다는 것이다. (약 10M) Oct 7 15:15:22 host kernel: ip_conntrack version 2.4 (4095 buckets, 32760 max) – 228 bytes per conntrack 만약 32760이 넘으면 어떻게 될까? 다음과 같이 패킷이 drop이 된다. Oct 7 15:16:42 host kernel: ip_conntrack: table full, dropping packet. 이런 문제는 웹 서버와 같이 동시에 수 많은 connection을 처리해야 하는 경우에 발생할 수 있고 ab와 같은 stress 발생기를 사용.. 2010. 6. 7. kernel: nf_conntrack: table full, dropping packet. # 시스템에서 처리할수 있는 패킷이 초과되면서 이후 패킷에 대해서 drop처리되는 메세지 ping 으로 확인시 시스템이 다운된것처럼 체크됨 Jul 31 18:41:00 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:06 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:10 www kernel: nf_conntrack: table full, dropping packet. Jul 31 18:41:15 www kernel: nf_conntrack: table full, dropping packet. # conntrack 모듈이란.... 2.6.x 버전이상에는..... 2010. 2. 2. 이전 1 다음 728x90