Atualizamos recentemente para o Ubuntu 16.04 (kernel 4.4) e notei um novo comportamento em relação ao net.netfilter.nf_conntrack_max. No passado (com 12.04 rodando 3.2), se você pressionasse nf_conntrack_max, não seria capaz de estabelecer novas conexões. No entanto, tenho feito alguns testes com inundação SYN e proteção SYNPROXY DDoS. Descobri que depois de atingir nf_conntrack_max por meio de uma inundação SYN, ainda consigo estabelecer conexões com o servidor.
O uso do SYNPROXY mantém a tabela conntrack nas conexões estabelecidas, mas com ou sem ele ainda consigo me conectar ao servidor sem problemas.
Alguem tem alguma informação sobre isto?
Me deparei com ouvintes TCP sem bloqueio no 4.4:
https://kernelnewbies.org/Linux_4.4#head-7c34e3af145ac61502d1e032726946e9b380d03d
Estou me perguntando se isso faz parte disso.