Iptables ip_conntrack: table full, dropping solucionado

Este mensaje de error se produce cuando la tabla conntrack de Iptables está llena y no tiene suficiente capacidad para seguir añadiendo entradas. Este error comporta, que empieze a borrar paquetes tanto entrantes como salientes y el cortafuegos funcione de manera completamente anómala.

Para ver nuestro valor actual:

$ sysctl net.ipv4.netfilter.ip_conntrack_max

Para incrementar el valor por ejemplo 24000:

$ sysctl -w net.ipv4.netfilter.ip_conntrack_max=24000 (valor puede ser el deseado)

Finalmente, para ver los las actuales connexiones utilizadas:

$ wc -l /proc/net/ip_conntrack

En caso de que no se pueda cambiar ninguno de estos valores, una solución para vaciar las tablas consistiría en quitar el módulo de ip_conntrack + todos los que dependan de él y finalmente volverlo a cargar de nuevo.

Para más información: http://www.wallfire.org/misc/netfilter_conntrack_perf.txt

Deja un comentario

Tu dirección de correo electrónico no será publicada.