nf_conntrack 高性能优化建议

适用场景：

1.高并发网站服务（如大型电商、博客等）

2.高防 VPS（用于 DDoS 防护、流量清洗）

3.Web 反向代理、负载均衡节点

4.大量并发网络请求的 API 网关

配置优化说明：

1.扩大 nf_conntrack 最大连接数

echo "net.netfilter.nf_conntrack_max=15000000" >> /etc/sysctl.conf
sysctl -p

2.增加 nf_conntrack 哈希表大小

echo "options nf_conntrack hashsize=3750000" > /etc/modprobe.d/nf_conntrack.conf
modprobe nf_conntrack

3.配置合理的连接超时时间

echo "net.netfilter.nf_conntrack_generic_timeout=120" >> /etc/sysctl.conf
sysctl -p

4.优化系统资源以应对高并发

sysctl -w net.core.netdev_max_backlog=50000
sysctl -w net.core.somaxconn=65535
sysctl -w net.ipv4.tcp_max_syn_backlog=8192
sysctl -w net.ipv4.tcp_rmem='4096 87380 6291456'
sysctl -w net.ipv4.tcp_wmem='4096 87380 6291456'

5.清理不活动连接

apt install conntrack #安装连接追踪管理工具
conntrack -L #查看当前所有连接追踪记录
conntrack -F #清空所有连接记录（立即生效）