База знаний VMmanager
Документация
/
База знаний VMmanager
/
Поиск и устранение неполадок
/
Не создаются и не удаляются ВМ на узле. В журнале dmesg сообщение "nf_conntrack: table full, dropping packet"
Добавить в избранное
Режим фокусировки
Документация
/
База знаний VMmanager
/
Поиск и устранение неполадок
/
Не создаются и не удаляются ВМ на узле. В журнале dmesg сообщение "nf_conntrack: table full, dropping packet"

Не создаются и не удаляются ВМ на узле. В журнале dmesg сообщение "nf_conntrack: table full, dropping packet"

Проблема

Не создаются и не удаляются виртуальные машины (ВМ) на узле кластера. При этом:

  • проблемный узел доступен по SSH;
  • другие узлы кластера работают исправно;
  • связь с узлом кластера нестабильна.

Проблема проявляется только в моменты потери связи с узлом кластера и не возникает при её восстановлении.

Причина

Указанное поведение возникает из-за переполнения таблицы nf_conntrack в сетевой подсистеме ядра.

Это происходит по следующим причинам:

  • высокая интенсивность входящих соединений на SSH-порт узла кластера;
  • недостаточный размер таблицы nf_conntrack для обработки пиковой нагрузки. Рекомендуемое значение — 1048576. Подробнее см. в статье Как изменить параметры netfilter.

В момент заполнения таблицы происходит принудительный сброс входящих пакетов. Среди сброшенных пакетов оказываются служебные соединения, необходимые для управления ВМ на узле кластера. 

Диагностика

Чтобы подтвердить причину:

  1. Подключитесь к узлу кластера по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.
  2. Проверьте журнал ядра dmesg:
    sudo dmesg -T
    Пример вывода
    [Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet
[Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet
[Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet
[Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet
[Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet
[Sat Apr 4 04:13:55 2026] nf_conntrack: nf_conntrack: table full, dropping packet

    Признак проблемы: наличие сообщений nf_conntrack: table full, dropping packet.

  3. Проверьте текущий размер таблицы nf_conntrack:
    sudo sysctl net.netfilter.nf_conntrack_max
    Пример вывода
    net.netfilter.nf_conntrack_max = 262144

    Признак проблемы: значение меньше рекомендуемого: 1048576.

Решение

Внимание!
Увеличение размера таблицы nf_conntrack не устраняет причину высокой интенсивности соединений, а только повышает порог заполнения таблицы. Указанная инструкция не заменяет анализа и устранения источника аномального трафика.

Чтобы решить проблему:

  1. Подключитесь к узлу кластера по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.
  2. Увеличьте размер таблицы nf_conntrack: 
    echo "net.netfilter.nf_conntrack_max=1048576" >> /etc/sysctl.conf
  3. Примените настройки:
    sudo sysctl -p

    При выполнении команды sudo sysctl -p может быть получен следующий вывод:

    text
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1net.netfilter.nf_conntrack_max=1048576

    Это значит, что новый параметр записан в файл /etc/sysctl.conf без перевода строки, следом за параметром net.ipv6.conf.all.forwarding = 1.

    Чтобы решить проблему:

    1. Откройте файл /etc/sysctl.conf в режиме редактирования.
    2. Перенесите строку net.netfilter.nf_conntrack_max=1048576 на новую строку.
    3. Сохраните изменения и закройте редактор.
    4. Повторно выполните sudo sysctl -p.
  4. Проверьте, что параметры изменены:
    sudo sysctl -a | grep conntrack_max
    Пример вывода
    net.netfilter.nf_conntrack_max = 1048576
net.nf_conntrack_max = 1048576

Увеличение входящих соединений из-за брутфорс-атаки

Большое количество входящих соединений может возникать из-за массового подбора паролей (брутфорс-атаки) на SSH-порт узла кластера. Эта причина не связана с работой платформы VMmanager 6 и устраняется самостоятельно системным администратором сервера.

Чтобы проверить наличие признаков брутфорс-атаки:

  1. Подключитесь к узлу кластера по SSH. Подробнее о подключении по SSH см. в статье Настройка рабочего места.
  2. Проверьте системный журнал на наличие признаков брутфорс-атаки:
    sudo journalctl | grep -E "authentication attempts exceeded|kex_exchange_identification"
    Пример вывода
    Apr 02 18:53:11 Alma-15-FI sshd[85365]: error: maximum authentication attempts exceeded for root from 10.10.10.10 port 49512 ssh2 [preauth]
Apr 02 18:53:36 Alma-15-FI sshd[85952]: error: maximum authentication attempts exceeded for root from 10.10.10.10 port 54452 ssh2 [preauth]
Apr 03 01:20:03 Alma-15-FI sshd[217893]: error: maximum authentication attempts exceeded for root from 10.10.10.10 port 59408 ssh2 [preauth]
Apr 03 04:10:57 Alma-15-FI sshd[276029]: error: kex_exchange_identification: client sent invalid protocol identifier "GET / HTTP/1.1"...

    Массовые записи вида error: maximum authentication attempts exceeded for root указывают на интенсивный подбор паролей.

Чтобы блокировать брутфорс-атаку, обратитесь к системному администратору. Возможные решения — установка fail2ban или настройка правил файрвола для ограничения входящих подключений к SSH-порту узла кластера.

Может быть полезно