Доброе время суток! столкнулся с переполнением таблицы nf_conntrack, для начала увеличил ее, т.к. нагрузка немаленькая около ~600 пользователей.
Но потом заметил, что львиную долю в  cat /proc/net/ip_conntrack | grep UNREPLIED занимают такие записи
tcp      6 379138 ESTABLISHED src=Remote_Ip dst=Local_ip sport=1568 dport=1133 packets=7 bytes=532 [UNREPLIED] src=Local_ip dst=Local_ip sport=1133 dport=1569 packets=0 bytes=0

Такое ощущение, не всегда отрабатывает NAT, но все работает... эпизодически когда подскакивает загрузка в dmesg выпадает nf_conntrack: table full, dropping packet.
#Nat  
Iptables -A POSTROUTING -s Local_Net/16 -o eth0 -j SNAT --to-source Ext_IP
#filter
-A FORWARD -j ACCEPT

Главной особенностью являться то, что у роутера(NAT) оба интерфейса с внешними ip(но из разных подсетей).На входящий интерфейс(NAT-машины) маршрутизируеться Local_Net с другой машины(Gateway) которая тоже имеет ip из подсети как и на входящем интерфейсе на NAT.
Схема Клиент(local_ip)->Gateway(ext_ip01)->(ext_ip02)(NAT)(ext_IP)->net

• Проблемы с netfilter или Nat,JackK, 19:08 , 12-Окт-07

Перегрузил машину... сначала вообще небыло таких сообщений,но за день они опять появляются
...