問題タブ [conntrack]

/proc/net/nf_conntrackファイルの内容や/proc/net/ip_contrackLinux システムに関する詳細なドキュメントを探しています。

はい、知っています。これらのファイルの内容を人間が読める形式で表示できるユーティリティはたくさんありますが、Tomato USB ファームウェア (Shibby による) を使用して、SOHO ルーターで実行したいと思います。Optware AFAIK は廃止され、entware にはこれらのユーティリティが含まれていないため、代わりにスクリプトを書きたいのですが、これらのファイルの詳細な説明が見つかりませんでした :(

カーネルの conntrack エントリを削除する必要があります。nf_ct_deleteやなど、たくさんの機能がありnf_ct_putます。現時点では、skb->nfct（追跡されたすべてのskbのブロック）で両方を使用しています。最初は問題なく動作しているように見えますが、数秒後にカーネルがクラッシュします。

私の現在のコードは次のとおりです。

delete ステートメントと put ステートメントを実行した直後に、エントリをチェックするconntrack -L conntrackと (予想どおり) エントリが消えています。しかし、1 分ほどすると、システムがフリーズします。conntrack は、起動時にクラッシュするいくつかのタイマーを開始すると思います。

私の質問は次のとおりです。特定の接続のすべてをすぐに削除するにはどうすればよいですか? タイマーの停止とすべての状態のクリーンアップを含みます。

NGINX を使用する 2 つのロード バランサーで高負荷の状況に問題があります。いくつかの TCP パラメータを調整して、それで行き詰まりたいと思っています。

したがって、およびのパラメーターがip_conntrackありnf_conntrack、3 番目の変数もあります。それらのどれを設定する必要がありますか? ディストリビューションは Debian Wheezy です。

Conntrack は、すべてのパケットを無効としてマークします。haproxy を使用するサーバーには、1 つのネットワーク インターフェイスに複数の IP が含まれています。

ルールで状態をチェックしないため、すべてが機能しています。私たちは何を間違っていますか？

iptables

conntrack -S

lsmod|grep conntrack

OS

conntrack -E、すべて問題ないようです

アップデート：

ルールを変更しました。作られたカールと統計は古いものと同じです。新しい接続はありません。conntrack は正常に動作していると思いますが、統計は正しくありません