En un servidor, con Shorewall firewall instalado (firewall que en mi opinión no es muy bueno y no cumple con mis requerimientos) comenzó a haber un 90 % de perdida de paquetes, hable con el proveedor y me dijo que no tenian ningún problema de ruteo, así que procedí a revisar los logs del servidor, específicamente /var/log/kern.log.

Encontre el siguiente mensaje:

“ip_conntrack: table full, dropping packet.”

Esto era lo que estaba causando el 90% de perdida de paquetes!

Modifique el archivo /proc/sys/net/ipv4/ip_conntrack_max file a 131072 para que aceptara mas conexiones, y ya se soluciono el problema de perdida de paquetes.

Después de investigar un poco en Internet, comprobé que firewalls que utilizan “stateful inspection” dan este tipo de problemas en el servidor (el cual es el caso de shorewall).

No se, pienso que esto no debería de pasar en un servidor, me parece un gran BUG que un firewall llene la tabla “hash” donde se almacenan las cadenas.

Esto me paso en un servidor linux con debian etch, pero lei que pasa también muy seguido en servidores con linux SuSe y CentOS.