RHEL/CentOS修改ip_conntrack的HASHSIZE

1、概念

－容许的最大跟踪链接条目：CONNTRACK_MAX（默认值是 2^16=65536 ）
－存储跟踪链接条目列表的哈西表的大小：HASHSIZE
－每一个哈西表的条目（叫一个bucket），包含了一个连接起来的跟踪链接条目
－哈希表大小HASHSIZE，表现为 条目bucket的多少，在iptables启动时在日志中会显示。

图表形象解释：

经过修改HASHSIZE的值，能够自动扩展ip_conntrack_max，不须要额外再去修改ip_conntrack_max值了，ip_conntrack_max的值会被自动设置为HASHSIZE值的8倍。

2、实战

一、RHEL/CentOS 5.4系统

默认值8192（2^13），咱们增大为131072（2^17）：

# echo "options ip_conntrack hashsize=131072" >> /etc/modprobe.conf

而后重启 iptables 服务，便可生效。

二、RHEL/CentOS 6.4系统

6.4系统没有/etc/modprobe.conf文件，以在/etc/modprobe.d/目录中添加配置文件来实现：

# cd /etc/modprobe.d/# echo "options nf_conntrack hashsize=131072" > nf_conntrack.conf # reboot

改完要重启系统才能生效。

# cat /sys/module/nf_conntrack/parameters/hashsize

这样修改完以后，不须要额外再去修改ip_conntrack_max值了，ip_conntrack_max的值会被自动设置为HASHSIZE值的8倍：

# sysctl -a |grep conntrack_maxnet.netfilter.nf_conntrack_max = 1048576net.nf_conntrack_max = 1048576

三、参数的名字到底用ip_conntrack仍是nf_conntrack？

这个取决于系统里模块名究竟是ip_conntrack仍是nf_conntrack，能够经过lsmod查看模块列表来看出来你的模块究竟是ip_conntrack仍是nf_conntrack：

# lsmod |grep conntracknf_conntrack           79357  5 iptable_nat,nf_nat,nf_conntrack_ipv4,nf_conntrack_ipv6,xt_state

转自：http://ju.outofmemory.cn/entry/45769