Das Limit wird beim Booten gesetzt, vgl. auch
https://www.kernel.org/doc/Documentatio ... sysctl.txt
Auf einem 1 GB-Kistchen:
# cat /proc/sys/net/netfilter/nf_conntrack_max
32768
# sysctl net.netfilter.nf_conntrack_count
Ob er gleich nach dem Booten mit DDoS vollbombadiert wird?
Wer weiss, was auf seiner Kiste vorgeht ...
Deshalb auch der strace-Vorschlag.