ip_conntrack: table full, dropping packet.

Jan Houstek houstek na utf.mff.cuni.cz
Pátek Duben 9 13:59:30 CEST 2004


On Fri, 9 Apr 2004, oldfrog.linux na volny.cz wrote:

> Bere se pro automaticky vypocet limitu v uvahu i velikost swap?

AFAIK tak ne. Ostatne by to nedavalo ani moc dobry smysl, mnozstvi swapu
se muze menit a taky by to zalezelo na tom, zda conntrack modul bude
zaveden pred nebo po pripojeni swapu.

> Zda se, protoze ostatni srovnatelne vytizene routery maji pocet
> kontracku kolem 3000. To ukazuje na to, ze limit 980 je opravdu malo.

Je-li primarni cinnosti toho stroje delani routeru/fw, tak si to klidne
zvednete treba na 10000. Ten pomer k fyzicke pameti je tam proto, aby se
na strojich s mensim mnozstvim pameti zbytecne neplytvalo, ovsem v pripade
stavoveho fw neni asi setreni na ip_conntrack tabulce prilis na miste :)

-- Honza Houstek


Další informace o konferenci Linux