Чем больше я вожусь с дебианом, тем больше складывается впечатление что systemd они себе впилили «не совсем добровольно и чисто для галочки».
В данном случае потребовалось добавить строчку «net.ipv4.netfilter.ip_conntrack_max = 1548576».
Добавил, делаю «sysctl -p» — работает. Ребутаюсь — значение откатывается на дефолт. Делаю «sysctl -p» — снова работает.
В итоге решилось созданием файла /etc/systemd/system/systemd-sysctl.service
[Unit] Description=Apply Kernel Variables Documentation=man:systemd-sysctl.service(8) man:sysctl.d(5) DefaultDependencies=no Conflicts=shutdown.target After=systemd-readahead-collect.service systemd-readahead-replay.service After=systemd-modules-load.service After=network.target Before=sysinit.target shutdown.target ConditionPathIsReadWrite=/proc/sys/ [Service] Type=oneshot RemainAfterExit=yes ExecStart=/lib/systemd/systemd-sysctl [Install] WantedBy=multi-user.target
и командой «systemctl daemon-reload && systemctl enable systemd-sysctl.service»
UPD Это «немножко» неверно. Не смотри сюда, смотри туда
А по мне дак просто ребята допиливают — любой переход таких маштабов тяжелый. Да и народ то бунтовал против systemd!))))
ЗЫ: P Y T H O N 3 ))))
Я тут услышал мнение что проблема заключается в том (сам то я причину тогда не искал), что сначала применяются настройки из sysctl, а потом загружаются сервисы (iptables) и их модули (в частности conntrack) и соответственно они со своими настройками по умолчанию и правильным с идеологической точки зрения является правка /etc/modules, что бы nf_conntrack подгружался сразу, а не когда отработает юнит фаерволд, проверять правда его не проверял, но на первый взгляд похоже на правду.
Ваще все хуйня. Смотри udp.