服务器症状:LAMP架构服务,早上网站打不开,ssh登录连接不上服务器,能ping通,域名能解析
日志截图:
分析如下:
此问题出在TCP连接造成,由于安全考虑系统启用了iptables防火墙,有conntrack模块,此模块用于跟踪并且记录连接状态,连接跟踪是防火墙模块的状态检测的基础,一个跟踪连接表会占用350字节的内核存储空间,系统运行时间长时就会把默认的空间填满(IP_conntrack),需要定期清理。
解决方案:
1.加大 ip_conntrack_max 值
vi /etc/sysctl.conf
net.ipv4.ip_conntrack_max = 655360
2.降低 ip_conntrack timeout 时间
vi /etc/sysctl.conf
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180
#sysctl -p 生效
查看目前 ip_conntrack buffer 使用状况
grep conn /proc/slabinfo
查出目前 ip_conntrack 记录最多的前五名 IP
cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 5
本文转自 geekwolf 51CTO博客,原文链接:http://blog.51cto.com/linuxgeek/999011