# 시스템에서 처리할수 있는 패킷이 초과되면서 이후 패킷에 대해서 drop처리되는 메세지
nf_conntrack: table full, dropping packet.
nf_conntrack: table full, dropping packet.
nf_conntrack: table full, dropping packet.
nf_conntrack: table full, dropping packet.
nf_conntrack: table full, dropping packet.
# conntrack 모듈이란
2.6.x 버전이상에는... nf_conntrack 이라는 명칭이며....이하는 ip_conntrack
ESTABLES 관련이 있으며 현접속상태에 대한 정보를 일정시간동안 시스템에서 기억하는 모듈이다.
대게 FTP 접속하고 관련이 있는데....FTP 특성상 접속을 맺는포트 (20번) 데이타 전송포트 (21번)으로
분리되어있다보니... 세션이 이루어지고 데이타 전송되는 SRC IP / DST IP 정보를 담고있어야 된다.
이에 CONNTRACK 테이블에 해당 정보를 가지고 있음.
ex) $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 임시방편으로는 conntrack 테이블갯수를 늘려준다.
echo 131072 > /proc/sys/net/nf_conntrack_max
echo 0 > /proc/sys/net/nf_conntrack_max ==> 무한정
# nf_conntrack 관련모듈
lsmod |grep conntrack
nf_conntrack_ipv4 17225 4
nf_conntrack_ftp 16489 0
nf_conntrack 65217 3 nf_conntrack_ipv4,xt_state,nf_conntrack_ftp
nfnetlink 13321 2 nf_conntrack_ipv4,nf_conntrack
# nf_conntrack 현재 접속카운트
watch -d cat /proc/sys/net/netfilter/nf_conntrack_count
# nf_conntrack 접속정보를 담고있는 부분
[monawa.com, /proc/net >pwd
/proc/net
[monawa.com, /proc/net >cat nf_conntrack
#### 시스템 커널변수값 수정사항 ####
[monawa.com, /proc/sys/net/netfilter >cat nf_conntrack_tcp_timeout_established
432000
[monawa.com, /proc/sys/net/netfilter >echo 3600 > nf_conntrack_tcp_timeout_established
# 초기값 65535
echo 100000 > /proc/sys/net/nf_conntrack_max
# 초기값 60
echo 30 > tcp_fin_timeout
##########################################
