[technique] tables conntrack pleines sur h3

[Laurent GUERBY]

On Mon, 2014-03-31 at 18:57 +0200, Mehdi Abaakouk wrote:
> Salut,
> 
> Y'a des paquets dropped sur h3 à cause de la table de connection 
> tracking qui est pleine de plus en plus souvent.
> 
> Dans les vieux logs c'est arrivé de temps en temps au heure de pointe, 
> mais depuis quelque temps ca semble plus régulier.
> 
> Le nombre maxi de connection TCP simultané c'est 65535 et la taille de 
> la hash table qui gére ca 32768
> J'ai donc 2x les valeurs dans un premier temps pour que ca arrête de 
> packet drop
> 
> J'ai aussi ajouté un plugins check_mk pour le monitorer ca.
> 
> Mais peut être la bonne solution c'est de viré complément conntrack ?
> 
> 
> Extrait de ce que j'ai fait et ajouté dans le /etc/rc.local de h3:
> 
> # Ajout temporaire de sileht, dmesg nous informe que 'nf_conntrack: 
> table full, dropping packet.'
> # Peut être peut-on supprimer conntrack et ipables NAT ?
> sysctl -w net.netfilter.nf_conntrack_max=131072
> echo 32768 > /sys/module/nf_conntrack/parameters/hashsize
> 
> 
> A+

Salut Mehdi,

Avant le reboot de h3 j'avais appliqué quelques rmmod sur
h3 et gw, un peu dans l'esprit de :

http://major.io/2008/01/24/ip_conntrack-table-full-dropping-packet/#comment-15408
<<
Once iptables is no longer using ip_conntrack, you can reclaim the
memory the table was using by unloading the related kernel modules.

rmmod ipt_MASQUERADE
rmmod iptable_nat
rmmod ipt_state
rmmod ip_conntrack

Then you will have an empty ip_conntrack that will stay empty. I mention
this because a lot of sysadmins have hordes of iptables rules installed
as a matter of course, and don’t recognize the downside of having them
present. You can still use iptables, but to avoid the use of
ip_conntrack simply don’t use rules based on stateful logic.
>>

Je ne sais pas si dans les derniers kernel comme sur le futur
routeur h7 / nftables ils ont enfin supprimé le tracking stateful
quand aucune regle iptables n'est present ....

Merci a tous,

Laurent