<div dir="ltr">Ah, thats it. My conntrack entries are full and temporarily increasing it resolves the problem.<div><br></div><div>What would be a reasonable conntrack limit for a tor exit?</div><div><br></div><div><br></div><div class="gmail_quote"><div dir="ltr">On Thu, Jan 18, 2018 at 10:45 PM nusenu <<a href="mailto:nusenu-lists@riseup.net">nusenu-lists@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
Quintin:<br>
>> Do you reach your server's conntrack limit?<br>
><br>
> The word conntrack never appears in my logs, so I don't think it's that.<br>
> The ISP also requires this from tor exits: net.netfilter.nf_conntrack_max =<br>
> 10000<br>
<br>
How many conntrack entries do you actually have when you get<br>
sendto failed: Operation not permitted<br>
log entries?<br>
<br>
sysctl net.netfilter.nf_conntrack_count<br>
or<br>
cat /proc/sys/net/netfilter/nf_conntrack_count<br>
<br>
Regardless of whether this is the root-cause or not,<br>
nf_conntrack_max = 10k is probably to low for an exit relay.<br>
<br>
If nf_conntrack_count is near nf_conntrack_max, does the problem<br>
go away when you temporarily increase nf_conntrack_max?<br>
<br>
--<br>
<a href="https://mastodon.social/@nusenu" rel="noreferrer" target="_blank">https://mastodon.social/@nusenu</a><br>
twitter: @nusenu_<br>
<br>
</blockquote></div></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><font color="#000000" face="monospace"><span style="font-size:10.5625px">0101100101000001010010000101011101000101010010000010000001000010</span></font></div><div><font color="#000000" face="monospace"><span style="font-size:10.5625px">0100110001000101010100110101001100100000010110010100111101010101</span></font></div></div></div>