1、/var/log/messages出现kernel:nf_conntrack:tablefull,droppingpacket.什么问题?如何解决?解答:上述结果会让业务访问很慢!/etc/sysctl.confnet.nf_conntrack_max=25000000net.netfilter.nf_conntrack_max=25000000前两行调大net.netfilter.nf_conntrack_tcp_timeout_est..
分类:
其他好文 时间:
2016-05-23 10:48:52
阅读次数:
172
DNS解析偶尔延迟,发生的时间都在早高峰上班时间。看系统日志报错如下:May1811:04:54it-aakernel:[3390259.778899]nf_conntrack:tablefull,droppingpacket.May1811:04:54it-aakernel:[3390259.836110]nf_conntrack:tablefull,droppingpacket.May1811:04:54it-aakernel:[339025..
分类:
其他好文 时间:
2016-05-18 12:54:48
阅读次数:
181
net.nf_conntrack_max = 65536000net.netfilter.nf_conntrack_tcp_timeout_established = 1200net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_keepalive_time = 120
分类:
其他好文 时间:
2016-02-24 12:30:57
阅读次数:
182
1:第一坑:众所周知nf_conntrack,下面会有介绍补坑方法。2:连环坑:要解决第一个坑,需要修改内核参数,如:net.netfilter.nf_conntrack_tcp_timeout_established=600net.netfilter.nf_conntrack_max=1048576net.nf_conntrack_max=1048576这几个参数是基于nf_conntrack模块..
分类:
其他好文 时间:
2016-02-17 19:25:36
阅读次数:
277
1、在生产中selinux是关闭的。iptables根据环境,内网关闭,外网开启。如果是大并发的情况,不开启iptables.2、/var/log/messages出现kernel:nf_conntrack:tablefull,droppingpacket是因为业务访问慢造成的优化:net.nf_conntrack_max=25000000net.netfilter.nf_conntrack_max..
分类:
其他好文 时间:
2015-11-02 06:47:33
阅读次数:
239
独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法
对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如statematch,Linux
NAT等,诚然,我虽然对NAT也是抱怨太多..
分类:
Web程序 时间:
2015-08-02 06:31:22
阅读次数:
229
独悲需要忍受,快乐需要分享对Linux协议栈多次perf的结果,我无法忍受conntrack的性能,然而它的功能是如此强大,以至于我无法对其割舍,我想自己实现一个快速流表,但是我不得不抛弃依赖于conntrack的诸多功能,比如state match,Linux NAT等,诚然,我虽然对NAT也是抱怨太多,但不管怎样,不是还有很多人在用它吗。 曾经,我针对conntrack查找做过一个...
分类:
Web程序 时间:
2015-08-02 01:06:00
阅读次数:
215
首先,请求不要再诬陷Netfilter!虽然它有一些固有性能损耗,但敬请不要将iptables和Netfilter等同,如果你要抓元凶,请直接说iptables,而不要说成Netfilter! iptables真的是弱爆了!它的ipt_do_table竟然是五大元凶之一,如果规则超过了7000,那么它就是之首(其它的元凶是nf_conntrack函数,它们也是Netfilter的HOO...
分类:
系统相关 时间:
2015-07-13 00:53:48
阅读次数:
180
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我..
分类:
系统相关 时间:
2015-07-04 16:59:18
阅读次数:
320
题目有点大了,但是难免有一些愤怒!我们的网关产品目前处在系统测试阶段,不太顺利,是太不顺利!各方面都在懈怠,包括我!我除了懈怠,还在找机会逆袭!顺便蔑视一下测试者,希望产生一种想象,即他发现的问题其实不是问题,而是因为他的无知所导致!就在昨天,机会来了,我便气扬了! 很多人觉得我是下三层网络的专家,对于TCP之类的无权问津,但是我对TCP除了辱骂还是辱骂!因为它太复杂了,作为一个低层的...
分类:
系统相关 时间:
2015-07-04 11:12:34
阅读次数:
165
