Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)

最新推荐文章于 2023-06-03 15:26:18 发布
最新推荐文章于 2023-06-03 15:26:18 发布
阅读量6.3k 收藏 1
点赞数 1
分类专栏: TCP

Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)


    在最近的Linux内核里,默认情况下,Iptables重启动的时候,iptables模块会被卸载(unload),然后加载重启。

    这种配置下 iptables如果重启,对于那些tcp发起端window scale option有效的的连接会产生以下影响:

     1,重启后 window size会不能被正确识别;

     2,已经建立的tcp会话状态会从ESTABLISHED → INVALID 导致会话中断;

 

 以上问题对于有重传机制的应用或许问题不大,但是如果一个应用不支持重传,当底层tcp会话中断后 就会发生异常问题。

  如果应用环境中,这种类型会话偏多,而且iptabls的配置又因为安全问题要经常变动,就有必要探讨是否配置强制iptable模块在重启时不被unlod。

 

以下描述整个配置的修改过程:

1 确认配置情况

① window scale option 的配置确认
# cat /proc/sys/net/ipv4/tcp_window_scaling
1
↑ window scale option有效
0:无效
② iptables的配置
# grep UNLOAD /etc/sysconfig/iptables-config
IPTABLES_MODULES_UNLOAD="yes"
↑ iptables模块在重启是会被unload
"no" :不会被unload

2 修改配置

① 系统环境
$ uname -a
Linux test01 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux

② 配置修改成重启iptables
# /etc/init.d/iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: nat filter [ OK ]
Unloading iptables modules: [ OK ] ← 被卸载了
Applying iptables firewall rules: [ OK ]
Loading additional iptables modules: ip_conntrack_netbios_n[ OK ] ← 重新加载
③ 修改配置
# vi /etc/sysconfig/iptables-config
IPTABLES_MODULES_UNLOAD="no"

④ 配置后重启iptables的结果如下:
# /etc/init.d/iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: nat filter [ OK ]
Applying iptables firewall rules: [ OK ]
Loading additional iptables modules: ip_conntrack_netbios_n[ OK ] ← 模块加载
samuel-preamble
关注
专栏目录
进程外部断开TCP连接的方式
tsh123321的博客
06-06 7154
总结五种断开TCP连接的方式 1.防火墙规则 可以设置iptables规则禁掉某个或者某些端口,但是对已建立的TCP连接无效,只是会让TCP收不到包。上层业务要是对长时间收不到数据有超时出来也可以实现断开连接功能 关闭端口 【iptable】 sudo iptables -A INPUT -p tcp --dport $PORT -j DROP sudo iptables -A OUTPUT -p...
服务重启后无法被远程连接的问题原因及解决方案
热门推荐
漠效的博客
07-05 4万+
前言 我们的服务器一开始是可以被远程连接的,但是当我们的服务器因为某些原因而发生重启,我们在这之后,再对它执行远程连接的时候,经常会发生无法远程的情况。下面介绍的就是,解决这个问题的方法。 ssh报错解决方法,请参考下列链接: https://blog.csdn.net/gx_1_11_real/article/details/80423409 原因 【1】被重启服务器...
执行这条命令,本地主机是否会断开tcp链接,从TCP的角度详细解释一下,iptables -lINPUT -s 1.1.1.1 -j DROP
weixin_35755562的博客
01-09 211
执行这条命令,将会禁止来自 IP 为 1.1.1.1 的主机的 TCP 连接,也就是说,在执行这条命令之后,本地主机将不再接受来自 1.1.1.1 的 TCP 连接。这并不会导致本地主机已经建立的 TCP 连接断开,只会导致新的 TCP 连接无法建立。 关于这条命令的具体作用: iptables 是 Linux 系统中用于配置防火墙的工具。 -l 表示显示已有的规则列表。 INPUT 表示这条规...
Linux 查看iptables状态-重启
daojibruce的博客
06-25 3万+
Linux 查看iptables状态-重启iptables 所在目录 : /etc/sysconfig/iptables# service iptables status #查看iptables状态 # service iptables restart #iptables服务重启 # service iptables stop #iptables服务禁用
断开tcp连接
bsnry的专栏
04-10 1137
// test.cpp : Defines the entry point for the console application. // #include "stdafx.h" //********************************************************************** // Version: V1.0 // Coder: WinEg
5_计算机网络_iptables-传输层-TCP/UDP-三次握手/四次断开-内核参数调优
hj的博客
04-05 2249
1、iptables iptables 是一个防火墙工具 [root@slave-mysql ~]# iptables -I INPUT -s 192.168.0.237 -p icmp --icmp-type 8 -j ACCEPT [root@slave-mysql ~]# iptables -F 清除防火墙规则 [root@slave-mysql ~]# iptables -L 查看防火墙规则 2、传输层 又名 四层负载均衡; 作用: IP层提供点到点的连接 (网络层) 传输层提供端到端的连接
iptables的一些基本应用
最新发布
weixin_42426779的博客
06-03 133
linux重启自动加载iptables配置
打开/关闭/重启防火墙
qq_52252193的博客
03-13 8884
一、iptables 1.打开/关闭/重启防火墙 开启防火墙(重启后永久生效):chkconfig iptables on 关闭防火墙(重启后永久生效):chkconfig iptables off 开启防火墙(即时生效,重启后失效):service iptables start 关闭防火墙(即时生效,重启后失效):service iptables stop 重启防火墙:service iptables restartd 2.查看打开的端口 /etc/init.d/iptables statu
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2307
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
linux入门之防火墙的设定(firewalld和iptables
qq_43830639的博客
06-04 556
一、防火墙 firewalld firewalld是一个动态防火墙后台程序,它提供了一个动态管理的防火墙用于支持“zones”,以分配对一个网络及其相关链接和界面的一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-config、sy...
Docker中iptables规则在iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_7.6p1 Ubuntu-4ubuntu0.3, OpenSSL 1.0.2n 7 Dec 2017\r\ndebug1: Reading configuration data /etc/ssh/ssh_config\r\ndebug1: /etc/ssh/ssh_co
lvs+iptables持久连接
weixin_34015860的博客
11-23 341
例:基于某个客户主机的持久链接,后方两台服务器,前方两台directory,使得某个客户端访问某个服务器时会对这台服务器进行持久的链接。 PCC基于客户端的连接 Ipvsadm –A –t 192.168.2.100:0 –s rr –p 1800 测试: 例:基于某个客户主机端口的持久链接,后方两台服务器分别装有wed server(htt...
如果和1.1.1.1已经建立TCP链接了,下面的shell命令会不会使tcp链接断开 iptables -I INPUT -s 1.1.1.1 -j DROP...
weixin_35749440的博客
01-08 87
如果执行了这条iptables命令,将会使1.1.1.1发送到本机的数据包被丢弃,从而断开已经建立的TCP链接。 在TCP协议中,当发送方发送数据包后,如果接收方没有响应,发送方会尝试重新发送数据包。如果在一段时间内(一般是几分钟)仍然没有收到响应,发送方就会断开TCP链接。因此,如果本机执行了这条iptables命令,导致1.1.1.1发送的数据包被丢弃,那么1.1.1.1就会尝试重新发送数据包...
iptables -F 后断开连接
泡泡虾
11-11 1457
经验记录: 使用 iptables -F 后断开服务器连接 (强行重启后才恢复) 原因: 默认策略为drop sudo iptables -L | more 解决: sudo iptables -P INPUT ACCEPT sudo iptables -L | more sudo iptables -F 关闭防火墙有风险 建议测试环境使用 ...
iptables
xiaogaoxiaoyuan的博客
01-14 1112
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables -F 断开连接-重大问题(会导致服务器挂掉)
code_aliu的博客
03-28 5100
在linux系统中的服务,可以通过iptables -L 查看系统防火墙能允许那些端口任务通过,往往也会因为一些设置原因造成端口不能进行访问,所以有时候会执行iptables -D的操作,这个时候一定要慎重执行,因为Drop命令执行完全以后就跟iptables -F一样,会删除所有的iptables规则,一旦执行iptables -F就会直接断开服务器的连接,因为这条命令删除了各种连接服务器的方式,包括ssh、https、访问服务器数据库、telnet协议连接等等。 解决办法:强制重启服务器,找管理员吧
iptables 限制指定ip的连接数
每天积累一点,一年后你会发现,自己变化很大
06-10 1713
1,限定指定IP和端口的访问连接数 iptables -I INPUT 1 -p tcp --dport 22 -s 192.168.91.1 -m connlimit --connlimit-above 1 -j REJECT 2,删除指定的input规则 iptables -D INPUT 1
Iptables常用操作及CDH 启用防火墙
YiRan_Zhao的博客
05-10 876
一、Iptables常用操作 1.查看当前所有的iptables配置 iptables -L -n 2.添加允许INPUT访问规则,以下时常见服务的端口设置,如果需要拒绝访问,则将ACCEPT改为DROP即可 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 8080 -j ACCEPT iptables -A INPUT -p tcp --dport 49152:65534 -j A.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值