最近、Ubuntu 16.04 (カーネル 4.4) にアップグレードしましたが、net.netfilter.nf_conntrack_max に関する新しい動作に気づきました。以前 (12.04 で 3.2 を実行)、nf_conntrack_max に達すると、新しい接続を確立できませんでした。ただし、SYN フラッドと SYNPROXY DDoS 保護を使用してテストを行ってきました。SYN フラッドによって nf_conntrack_max に達した後でも、サーバーへの接続を確立できることが分かりました。
SYNPROXY を使用すると、確立された接続に対する conntrack テーブルが保持されますが、SYNPROXY の有無にかかわらず、問題なくサーバーに接続できます。
これについて何か情報を持っている人はいますか?
4.4 でロックレス TCP リスナーに遭遇しました:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
これもその一部なのだろうか。