问题现象

无法远程连接ECS实例，ping目标实例时出现ping丢包或ping不通情况，在/var/log/message系统日志中频繁出现以下错误信息。

Feb  6 16:05:07 i-*** kernel: nf_conntrack: table full, dropping packet.
Feb  6 16:05:07 i-*** kernel: nf_conntrack: table full, dropping packet.
Feb  6 16:05:07 i-*** kernel: nf_conntrack: table full, dropping packet.
Feb  6 16:05:07 i-*** kernel: nf_conntrack: table full, dropping packet.

问题原因

ip_conntrack是Linux系统内NAT的一个跟踪连接条目的模块，ip_conntrack模块会使用一个哈希表记录TCP协议established connection记录。当这个哈希表满之后，新连接的数据包会被丢弃掉，就会出现nf_conntrack: table full, dropping packet错误。

Linux系统会开辟一个空间，用于维护每一个TCP链接，这个空间的大小与nf_conntrack_buckets、nf_conntrack_max参数相关，后者的默认值是前者的4倍，所以一般建议调大nf_conntrack_max参数值。

解决方案

1. 使用VNC远程连接实例。

   具体操作，请参见通过密码认证登录Linux实例。

2. 修改nf_conntrack_max参数值。

   1. 执行以下命令，打开/etc/sysctl.conf文件。

       

      vi /etc/sysctl.conf

   2. 按i键进入编辑模式。

   3. 修改nf_conntrack_max参数值。

      例如，将哈希表项最大值参数修改为655350。

       

      net.netfilter.nf_conntrack_max = 655350

   4. 按Esc键，输入:wq，保存并退出编辑。

3. 修改超时参数nf_conntrack_tcp_timeout_established值。

   例如，修改超时参数值为1200，默认超时时间是432000秒。

    

   net.netfilter.nf_conntrack_tcp_timeout_established = 1200

4. 执行如下命令，使配置生效。

    

   sysctl -p