Este mensaje de error se produce cuando la tabla conntrack de Iptables está llena y no tiene suficiente capacidad para seguir añadiendo entradas. Este error comporta, que empieze a borrar paquetes tanto entrantes como salientes y el cortafuegos funcione de manera completamente anómala.
Para ver nuestro valor actual:
$ sysctl net.ipv4.netfilter.ip_conntrack_max
Para incrementar el valor por ejemplo 24000:
$ sysctl -w net.ipv4.netfilter.ip_conntrack_max=24000 (valor puede ser el deseado)
Finalmente, para ver los las actuales connexiones utilizadas:
$ wc -l /proc/net/ip_conntrack
En caso de que no se pueda cambiar ninguno de estos valores, una solución para vaciar las tablas consistiría en quitar el módulo de ip_conntrack + todos los que dependan de él y finalmente volverlo a cargar de nuevo.
Para más información: http://www.wallfire.org/misc/netfilter_conntrack_perf.txt
Posts relacionados:
