nf_conntrack: table full, dropping packet.

nf_conntrack: table full, dropping packet.
zabbix first network error, wait for 15 seconds.

Erste Empfehlung – wenn keine FW auf der Maschine aktiv ist, auf connection tracking ganz verzichten und Modul entladen/blocken.

Der Fehler selbst sagt Tabelle zu klein. Standardmäßig bei Debian jedenfalls sind 65536 Einträge möglich.

Derzeitiger Wert:

# cat /proc/sys/net/netfilter/nf_conntrack_count

Maximal erlaubter Wert:

cat /proc/sys/net/netfilter/nf_conntrack_max

Passt man den Wert nf_conntrack_max an, muss man ebenso die hashsize anpassen:

/sys/module/nf_conntrack/parameters/hashsize

Über den Daumen gepeilt ist der Wert conntrack_max / 8 geteilt.

 

Es sei hier noch auf http://wiki.khnet.info/index.php/Conntrack_tuning verwiesen – vielleicht kann mir das jemand einfach erklären, wozu die hashsize gut sein soll, wenn ich erwarten würde, nur eine maximale Anzahl von Verbindungen zu definieren mit conntrack_max?!