iptables を使っているとき、接続数が増えてくると /var/log/messages に次のようなエラーが表示されることがあります。 Aug 2 23:44:44 s13 kernel: ip_conntrack: table full, dropping packet. Aug 2 23:44:51 s13 last message repeated 10 times Aug 2 23:45:40 s13 kernel: printk: 2 messages suppressed. このエラーメッセージの意味は iptables の ip_conntrack という接続テーブルが一杯になってパケットが破棄されたという意味です。詳しいことは、「中〜大規模サーバーを運用するときの勘所 – iptablesとip_conntrack」に解説されています。 まず、現在の ip_co
7.2. conntrackエントリそれでは、conntrack エントリの様子と /proc/net/ip_conntrack の読み方を簡単に見てみよう。 conntrack エントリには、あなたのマシンの現在の conntrack データベースエントリがリストされている。 ip_conntrack モジュールがロードされていれば、 /proc/net/ip_conntrack を cat すると以下のような感じになるだろう: tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \ dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 \ dport=32775 [ASSURED] use=2 この例は、特定のコネクションのステートを判断するた
日本F-Secure株式会社 - 製品サポート情報 通信が多く、Linuxのiptablesのセッション管理テーブル(ip_conntrack) を使い果たした場合、NATが働かず、通信できなくなったり検査できなく なることがあります。 これは、問題発生後のdmesgコマンドで以下のエラーのメッセージが 出力されかで確認できます。(診断情報ではsystem/dmesg.txt) ip_conntrack: table full, dropping packet. なぜかこの状態になった。一部のIPアドレスから頻度の高いアクセスがあるなぁとは思っていたけれど、そんなにあるとは想定外。 /proc/net/ip_conntrack を調べてみると、以下のような ESTABLISHEDがある特定のIPアドレス群から大量に記録されていて、テーブルがいっぱいになってしまったらしい。困った
前回まではmod_proxy_balancerで中〜大規模サーバーを運用するときの勘所をお話ししてきました。 これ以外にもmod_proxy_balancerな中〜大規模サーバーで気をつけるべき点はあります。それがiptablesとip_conntrack。 外部に直接晒されているサーバーはセキュリティーを確保するためにiptablesなどのファイヤウォールを導入しているかと思います。アクセス数がある程度以上になってくると、そのファイヤウォールが思わぬ足かせになってしまうと言うお話です。 iptablesはパケットフィルタリングを行うソフトウェアです。PCに入ってきたり、逆にPCから出て行くパケットを監視し、ルールに従い適宜フィルタリングを行います。 さて、iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く