关于iptables中ip_conntrack_max和hash表的关系及调整

　　哈西表包含了HASHSIZE大小的链接条目。当条目满的时候（总的跟踪连接条目数达到了CONNTRACK_MAX），理想状态下，每个列表（在最优化的条件下）将包含大约CONNTRACK_MAX/HASHSIZE的条目数。

　　不管你是否有连接，哈西表都将占用一个固定大小的非交换内核内存。但是最大连接跟踪条目会检测最多可以存储多少条目（globally into the

　　linked lists），也就是说他们最多可以占用多少的内核内存。

　　这篇文档将给你一些关于为了达到最好的netfilter conntracking/NAT系统性能，如何调优HASHSIZE和CONNTRACK_MAX值的提示。

　　CONNTRACK_MAX和HASHSIZE的默认值

　　============================================

　　一般来说，CONNTRACK_MAX和HASHSIZE都会设置在“合理”使用的值上，依据可使用的RAM的大小来计算这个值。

　　CONNTRACK_MAX的默认值

　　------------------------------

　　在i386架构上，CONNTRACK_MAX = RAMSIZE (以bytes记) / 16384 =

　　RAMSIZE (以MegaBytes记) * 64，

　　因此，一个32位的带512M内存的PC在默认情况下能够处理512*1024^2/16384 = 512*64 = 32768个并发的netfilter连接。

　　但是真正的公式是：

　　CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (x / 32)

　　这里x是指针的bit数，（例如，32或者64bit）

　　请注意：

　　－默认的CONNTRACK_MAX值不会低于128

　　－对于带有超过1G内存的系统，CONNTRACK_MAX的默认值会被限制在65536（但是可以手工设置成更大的值）

　　HASHSIZE的默认值

　　-------------------------

　　通常，CONNTRACK_MAX = HASHSIZE * 8。这意味着每个链接的列表平均包含8个conntrack的条目（在优化的情况并且CONNTRACK_MAX达到的情况下），每个链接的列表就是一个哈西表条目（一个桶）。