Есть такой параметр в ядре, net.netfilter.nf_conntrack_max — настраивает максимальное количество одновременных подключений. По умолчанию в моей системе, да и во многих других, это количество равно 16384, что, конечно, немного. Многочисленные хаутушки советуют прописать в sysctl.conf (или в sysctl.d/число-блабла.conf) значение побольше, например, 65536. Но у меня это значение при загрузке системы зловредно отказывалось применятся, причём просто так, из работающей системы тем же самым опенрцшным сервисом sysctl применяется, а на загрузке — кукиш! Оказывается, во-первых, по умолчанию модуль nf_conntrack у меня не грузился, и соответствующая ветка с файлом /proc/sys/net/nf_conntrack_max просто не существовала, а загружался этот модуль фаерволом, который стартовал сервисом уже после сервиса sysctl; а во-вторых, даже когда модуль был прописан в /etc/modules, тот самый фаерволл своим стартом перезаписывал параметр на умолчательные 16384. В общем, в секцию depend сервиса sysctl было добавлено after modules firewall и всё заработало.

Основная инфа отсюда.