Projet

Général

Profil

Actions
Copier le lien

Anomalie #6495

fermé

[bastion] nf_conntrack: table full, dropping packet

Ajouté par pitchum . il y a 3 mois. Mis à jour il y a 2 mois.

Statut:
Fermé
Priorité:
Élevée
Assigné à:
pitchum .
Catégorie:
-
Version cible:
Chapril - Backlog
Début:
01/09/2024
Echéance:
% réalisé:

0%

Temps estimé:

Description

Les services chapril étaient "instables"© aujourd'hui, avec pas mal d'erreurs 500.

Après enquête, sur bastion, la table conntrack était (encore une fois) saturée :

# dmesg -HTw
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet
[dim.  1 sept. 21:16:45 2024] nf_conntrack: nf_conntrack: table full, dropping packet

Résolu manuellement en augmentant la taille avec sysctl net.nf_conntrack_max=65000.

Mais je n'aurais pas du avoir besoin de faire ça normalement, puisque ça devrait être la valeur définie automatiquement :

# cat /etc/sysctl.d/conntrack.conf 
net.nf_conntrack_max=65000

Actions
Copier le lien
 #1

Mis à jour par Quentin Gibeaux il y a 3 mois

  • Statut changé de Résolu à Fermé
Actions
Copier le lien
 #2

Mis à jour par pitchum . il y a 2 mois

Je viens d'ajouter une sonde de supervision basée sur le script check_ip_conntrack .

Actions
Copier le lien

Formats disponibles : Atom PDF