Во время нагрузочного тестирования мой сервер отбрасывает пакеты из-за «отслеживания соединения», прежде чем у него заканчиваются ресурсы. Я использую Ubuntu Jaunty с ufw. В моем системном журнале я получаю:
ip_conntrack: table full, dropping packet.
Я посмотрел на увеличение максимального размера таблицы соединений, но я не знаю преимущества отслеживания этих соединений на этих портах. Я хотел бы знать, как использовать ufw, чтобы он не отслеживал запросы к портам 80 и 443.
Уточняющий
Спасибо.
iptables -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -A PREROUTING -p tcp --dport 443 -j NOTRACK
отключит отслеживание соединений только для этих портов.
Отслеживание подключений - это переключатель включения / выключения, вы не можете выборочно отключить его для какого-либо трафика. Вам следует увеличить количество подключений, отслеживаемых с помощью параметров varius nf_conntrack_max в разделе /proc/sys/net
. Вы также можете рассмотреть возможность включения файлов cookie для уменьшения эффекта перегрузки.
редактировать: Похоже, что iptables с -j NOTRACK
позволяет выборочно отключать отслеживание соединений.
У вас NAT? Я считаю, что без ip_conntrack вы не можете NAT.