Я понимаю что nf_conntrack_max есть, но что значит nf_conntrack_expect_max на самом деле делать? Я нигде не смог найти этому объяснения.
Ссылка: страница руководства conntrack
Система отслеживания соединений поддерживает две разные таблицы: одна для отслеживания активных соединений, а другая - для отслеживания соединений, которые / ожидаются / будут активными. Примером ожидаемого соединения может быть FTP-соединение, которое использует как управляющее соединение, так и соединение для передачи данных. При открытии управляющего соединения ожидается открытие соединения для передачи данных.
В решении с одной таблицей отказ в обслуживании может быть инициирован путем заполнения таблицы ожиданиями, истощая законные активные соединения. Отдельная таблица помогает предотвратить это.
При настройке двух систем nf_conntrack_expect_max - максимальное количество записей в таблице ожиданий, и его функция идентична функции nf_conntrack_max для стола conntrack.