Ошибка nf_conntrack: table full, dropping packet

Смотрим dmesg, чисто в профилактических целях, обнаруживаем массу сообщений вида: nf_conntrack: table full, dropping packet.

Из названия видно кто является источником данного косяка — фаервол iptables , если конкретно показывать пальцем, то nf_conntrack. Один из компонентов netfilter, отслеживающий состояния соединений и классифицирующий пакеты, этим соединениям, принадлежащие. Например данный модуль определяет такие состояния как:

• NEW — syn пакеты, устанавливающие соединение;
• ESTABLISHED — пакеты, принадлежащие уже установленным соединениям;
• RELATED — пакеты на создание нового соединения, на основании уже существующего ( пассивный FTP );
• INVALID — означает что принадлежность пакета к какому-либо типу соединения не установлена;

Например, пара правил штатного фаервола в Linux — iptables, использующие данный модуль:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp -m tcp  --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP

означают — пропускать уже установленные сетевые соединения и соединения инициированные уже установленными соединениями, дропать все что не подпадает под эти категории пакетов и пропускать не более 20 пакетов с флагами FIN,SYN,RST,ACK SYN в момент времени с одного IP адреса.

Все свои данные nf_conntrack хранит в таблицах, а вышеупомянутое сообщение говорит о том что эти таблицы переполнены.
Смотрим что у нас там по дэфолту:

debian:/# sysctl -a | grep conntrack_max
net.netfilter.nf_conntrack_max = 65536
net.nf_conntrack_max = 65536

Видимо маловато, делаем:

debian: /# echo "net.netfilter.nf_conntrack_max=1048576" >> /etc/sysctl.conf  # Увеличили размер таблиц в 8 раз
debian: /# sysctl -p  # Загружаем настройки ядра

Проверяем:

debian:/# sysctl -a | grep conntrack_max
net.netfilter.nf_conntrack_max = 1048576
net.nf_conntrack_max = 1048576

Проблема с iptables должна исчезнуть.