Зберігається nf_conntrack_max Повторне завантаження

У /procмене є два записи для nf_conntrack_max:

/ proc / sys / net / netfilter / nf_conntrack_max
/ proc / sys / net / nf_conntrack_max

Здається, вказують на те саме значення, що і зміна одного також змінює інше. З обома з них встановлено /etc/sysctl.conf:

net.netfilter.nf_conntrack_max = 65528
net.ipv4.netfilter.ip_conntrack_max = 65535

Значення залишається 32764 після перезавантаження, тому зміни не працюють. Хтось раніше стикався з цим? Я думаю, що ці значення застосовуються до завантаження відповідних модулів, але сподівався, що, можливо, хтось уже знає рішення.

це тому /proc/sys/net/nf_conntrack_max, що покладатися на модуль nf_conntrack. але цей модуль не завантажується за замовчуванням при запуску системи.

але якщо ти біжиш

iptables -t nat -L

або

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

цей модуль завантажується автоматично і встановлюється на максимальне число, яке підтримує ваша система (максимальне число - 65536, якщо ви таран> 4G, але воно відрізняється в різних системах. Ви можете встановити його на більшу кількість (наприклад, 6553600) в /etc/sysctl.conf) .

Рішення :

додайте один рядок у кінці файлу /etc/modules:

nf_conntrack

ці модулі будуть завантажені під час запуску системи перед sysctlвиконанням.

Тому що це повинно бути:

net.netfilter.nf_conntrack_max = 65535

А тепер ви можете встановити це без перезавантаження: sysctl -p /etc/sysctl.conf

Я не використовую Ubuntu, але, думаючи про це в моїй думці CentOS, я придумав ту саму гіпотезу, що і ви - sysctls застосовуються занадто рано. Деякі пошуки виявили, що це помилка, подана з 2006 року .

Схоже, поставити ще одне символьне посилання в пріоритеті> S40, щоб запустити скрипт props init знову, ймовірно, зробить все, що вам потрібно. Відповідно до резюме помилок, схоже, деяка реструктуризація методології Ubuntu sysctl в порядку (і, як ні дивно, помилка була призначена тому, хто не знав, що їй призначено і не може з цим допомогти).