Можно и удалить, а можно и отключить запись статистики.
А в syslog что?
А сами как думаете?
iptables -t raw -A PREROUTING -j NOTRACK
iptables -t raw -A OUTPUT -j NOTRACK
Будет чуть медленнее, чем при совсем выгруженном conntrack.
А также смотрите, кто у вас инициирует столько исходящих соединений, что сокеты висят в SYN_SENT без ответа.
Ещё как в моде.
Если есть какой-нибудь OVH с толстенными каналами, в котором десятки гигабит пофильтровать можно парочкой правил в пограничном фаерволе, то это не значит, что нет ДЦ, у которых от этого может вся сеть пошатнуться.
У меня дома даже порнуха на RAID5, а у вас сервера с одним накопителем.
Как так?
Как вариант, понабежали игровики со своими lineage 2, world of warcraft и т.д.
Уже не раз сталкивался с подобным, приходит клиент, клепает новый полупустой сайт, новый сервер без онлайна, и сразу ему прилетает 3-5 Гбит (а то и больше) амплификацией.
Казалось бы, кому он нужен, если там посетителей 2 человека в сутки, один владелец, другой гугльбот, но нет же, от раза к разу одно и то же, слишком много кейсов, чтобы списать это на совпадение.
Видимо, я чего-то не понимаю просто :)
Так у вас всё-таки кто-то инициирует столько исходящих соединений?
По топику, вроде как, сошлись на том, что дело не в нехватке эфемерных портов, а тут пачка SYN_SENT откуда-то.
Если conntrack дропнул запись раньше реального закрытия соединения, и сервер отправляет в ответ на входящее соединение SYN/ACK или ACK, оно будет либо INVALID (если tcp_loose=0), либо сразу же ESTABLISHED (если tcp_loose=1).
FIN или RST слёту уходящие, тоже будут INVALID.
У вас nginx сам всё же ходит так интенсивно на бэкэнд, или что-то другое? Если он, попробуйте ходить по HTTP 1.1 и держать пул keepalive, чтобы на каждый проксируемый запрос не создавать по соединению.
Идентичное железо не обязательно, в основном, значение имеет режим работы накопителей.
Можете прямо на этом сервере установить винду под KVM виртуалку (на raw образ), if=ide, или if=scsi (первое, если в биосе стоит эмуляция IDE, второе, если нативный AHCI), после установки образ посекторно скопировать уже на физический накопитель, при первой загрузке должно автоматически установиться новое железо, в т.ч. сетевой интерфейс, и если есть DHCP, то он даже должен подняться.
HTTP 1.1 и keepalive до бэкэнда пробовали?
