如何解决系统报错：nf_conntrack: table full, dropping packets-Toy模板网

这篇具有很好参考价值的文章主要介绍了如何解决系统报错：nf_conntrack: table full, dropping packets。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

问题

在系统日志中（/var/log/messages），有时会看到大面积的下面的报错：

nf_conntrack: table full, dropping packet

这说明系统接到了大量的连接请求，但是系统的连接跟踪表已经满了，无法再记录新的连接了。这时候，系统会丢弃新的连接请求。

在 CentOS 下，默认的连接跟踪表大小是 65536，可以通过下面的命令查看：

cat /proc/sys/net/netfilter/nf_conntrack_max

如果流量比较小，这个值是没问题的，但如果流量巨大，这个值可能就有点太小了。

解决方法

显然，调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接，意味着要耗费更多资源，这点要注意。

查看当前有多少活跃连接：

cat /proc/sys/net/netfilter/nf_conntrack_count

如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了，就说明快满了，需要调大 nf_conntrack_max。可以使用下面的命令临时调大：

echo 524288 > /proc/sys/net/netfilter/nf_conntrack_max

如果不想每次重启都要重新设置，可以修改 /etc/sysctl.conf，加入下面的配置：

net.netfilter.nf_conntrack_max = 524288

为了缓解大量连接的问题，您可能还需要考虑减少服务器等待连接关闭/超时的时间。在 /etc/sysctl.conf 中加入下面的配置：

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 60

如何监控

平时使用 categraf(https://github.com/flashcatcloud/categraf) 监控就可以了，categraf 提供了 input.conntrack 采集插件，可以采集 conntrack 的信息，建议采集配置如下：

conf/input.conntrack/conntrack.toml:

files = [
    "ip_conntrack_count",
    "ip_conntrack_max",
    "nf_conntrack_count",
    "nf_conntrack_max"
]

dirs = [
    "/proc/sys/net/ipv4/netfilter",
    "/proc/sys/net/netfilter"
]

# ignore errors
quiet = true

完事配置一个类似下面的监控规则即可：

conntrack_ip_conntrack_count / ip_conntrack_max > 0.8

另一个监控方案，是直接监控系统日志，算是一个兜底监控方案，可以采用 catpaw 来监控，catpaw 提供了 journaltail 采集插件，可以读取近期系统日志，grep 关键字，如果出现异常关键字就告警，配置如下：

conf.d/p.journaltail/journaltail.toml:

[[instances]]
# journalctl -S -${time_span}
time_span = "1m"
# relationship: or
keywords = ["Out of memory", "nf_conntrack: table full, dropping packets"]
# check rule name
check = "Critical System Errors"
# # gather interval
interval = "30s"

[instances.alerting]
## Enable alerting or not
enabled = true
## Same functionality as Prometheus keyword 'for'
for_duration = 0
## Minimum interval duration between notifications
repeat_interval = "5m"
## Maximum number of notifications
repeat_number = 3
## Whether notify recovery event
recovery_notification = true
## Choice: Critical, Warning, Info
default_severity = "Warning"

catpaw 的入门使用，可以参考文章：《太卷了，史上最简单的监控系统 catpaw 简介》文章来源地址https://www.toymoban.com/news/detail-480356.html

到了这里，关于如何解决系统报错：nf_conntrack: table full, dropping packets的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！