Recientemente actualizamos a Ubuntu 16.04 (kernel 4.4) y noté un comportamiento nuevo con respecto a net.netfilter.nf_conntrack_max. En el pasado (con 12.04 ejecutando 3.2), si presionaba nf_conntrack_max no podía establecer ninguna conexión nueva. Sin embargo, he estado haciendo algunas pruebas con inundación SYN y protección DDoS SYNPROXY. Descubrí que después de presionar nf_conntrack_max mediante una inundación SYN, todavía puedo establecer conexiones con el servidor.
El uso de SYNPROXY mantiene la tabla de seguimiento de las conexiones establecidas, pero con o sin él aún puedo conectarme al servidor sin problemas.
¿Alguien tiene alguna información sobre esto?
Me encontré con oyentes TCP sin bloqueo en 4.4:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
Me pregunto si esto es parte de esto.