iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報を記録している。 このip_conntrackに記録できる上限数を決めているのが/proc/sys/net/ipv4/ip_conntrack_max。 アクセスが増加し、ip_conntrack_maxの値を超えてしまうと、パケットが捨てられてしまうという事態に陥る。 iptablesを再起動するとip_conntrack_maxがデフォルト値に戻ってしまうので注意 現在のip_conntrack数
