iptables加载顺序问题及优化方法

最新推荐文章于 2023-10-17 09:26:51 发布
最新推荐文章于 2023-10-17 09:26:51 发布
阅读量240 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/lifei02/p/9892675.html
版权

iptables加载顺序问题及优化方法

 

 

1. 问题背景

近期, 在跟进存储节点升级 RAID 卡固件的事情时, 发现部分集群在重启机器后, 有极大的概率出现 client request block 的问题, block 时业务受到影响, 但隔一小段时间后, 故障能自行恢复. 问题重现机率高, 影响面大, 所以深入进一步排查.

2. 问题排查
  1. 通过 OSD 日志发现, 故障期间 OSD 日志有报出连接问题, 并在问题连接最终断开并重新连上后, 故障恢复
  2. 检查所有节点的网络通迅, 路由表, MTU, 防火墙, 均无发现问题
  3. 线索1: 在解决部分 block request 时, 为解决 block request, 停了全部 OSD; 发现全停了 OSD 后, 再次启动后并没有出现 block request, 获得线索1 
    • 线索1: 重新启动的 OSD 表现正常, 并多次验证依然如此, 推测第一次 OSD 启动时, 可能有部分设置有问题导致故障
  4. 根据线索1, 第一时间想到了 /etc/rc.local 中最后加载的配置, 其中存储节点只有防火墙及 sysctl 配置加载
  5. 验证: 注释 rc.local, 进行重启, 确认没有出现 block request, 问题原因缩小到防火墙及 sysctl 配置差异
  6. 一开始怀疑到 sysctl 最后才加载, 导致前面 OSD 节点在并发启动 OSD 服务时, backlog等网络参数过小, 导致丢包或连接丢失问题
  7. 排除验证: 通过对 /etc/rcS.d 的过滤, 确认在 ceph 服务启动前, sysctl 已经由系统内置的加载过一遍
  8. 钩子验证: 通过在 /etc/init.d/ceph 的启动配置中, 加入输出 sysctl 配置的操作, 进一步验证了 sysctl 的配置已经是加载过(在 /etc/rcS.d/S11procps 中加载)
  9. 至此基本可以确认防火墙的加载导致故障, 但尚未进行根因分析
3. 根因分析

这段时间正好遇到新上的一波计算节点出现不少节点的 nova 服务异常故障, 一联想可能是同个问题导致, 并做进一步的根因分析

  1. 拿两台有问题的计算节点, 一台注释防火墙加载, 一台保持原配置, 重启机器, 观察到不加载防火墙的计算节点nova-compute服务正常, 而加载了防火墙的节点 nova-compute 服务异常 
    • 表现: nova-compute 服务异常时, 日志不定时刷新, 但从master的nova service-list 以及 rabbitmap的状态中, 却能观察到正常的心跳及连接

  2. 通过观察防火墙规则, 初步判断为 TCP 连接的建立先于 conntrack 规则的加载, 导致 conntrack 规则加载后, 原来已经握手完成的 TCP 数据包被识别为异常数据包, 进而被 Drop, 导致 网络连接状态异常

    • 这也就可以解释为什么重启一次服务后, 又能正常, 因为此次 conntrack 规则已经生效中
    • 这也就可以解释为什么nova-compute服务异常后, 还能有正常的心跳反馈出去(因为这只是出去的包, 无限制)

  3. 通过开启iptables的 LOG, 进行debug, 确认该猜测, 原因明确

root@cld-acc162-32:/etc/rcS.d# dmesg | grep 'DROP' | grep '10.200.12.102' [ 140.173826] INPUT:DROP IN=eth0 OUT= MAC=9c:dc:71:64:9e:b0:5c:b9:01:d0:9e:c0:08:00 SRC=10.200.12.102 DST=10.200.13.135 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47100 DF PROTO=TCP SPT=5672 DPT=40445 WINDOW=59 RES=0x00 ACK PSH URGP=0 [ 140.381274] INPUT:DROP IN=eth0 OUT= MAC=9c:dc:71:64:9e:b0:5c:b9:01:d0:9e:c0:08:00 SRC=10.200.12.102 DST=10.200.13.135 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47101 DF PROTO=TCP SPT=5672 DPT=40445 WINDOW=59 RES=0x00 ACK PSH URGP=0 [ 140.589186] INPUT:DROP IN=eth0 OUT= MAC=9c:dc:71:64:9e:b0:5c:b9:01:d0:9e:c0:08:00 SRC=10.200.12.102 DST=10.200.13.135 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47102

转载于:https://www.cnblogs.com/lifei02/p/9892675.html

weixin_30535913
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1085
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
【RabbitMQ 第七篇】RabbitMQ实现JSON、Map格式数据的发送与接收_map放到rabittmq
最新发布
2401_84166236的博客
04-28 130
在实现的项目开发中,经常使用Json、Map格式数据。下面将介绍RabbitMQ实现Json、Map格式数据的发送与接收。在消息发送端服务引入依赖、yml配置、RabbitMQ配置类、消息发送类。下面将讲述创建交换器、创建队列、将交换器和队列进行绑定各种方法。等,并将队列交由 IoC 管理。在项目中,创建配置类,配置。
iptables 顺序
weixin_30408739的博客
09-20 157
-A INPUT -s 115.236.6.6/32 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 10.175.197.98/32 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 10.171.254.221/32 -p udp -m udp --dport 111 -j ACCEPT -A...
iptables优先顺序
热门推荐
stonesharp的专栏
05-21 1万+
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
iptables规则的顺序
yi_Afly的专栏
08-17 1409
iptables的INPUT CHAIN、FORWARD CHIAN和OUTPUT CHAIN中,每当遇到匹配的ACCEPT或者REJECT或者DROP规则时,就不会再继续向下匹配。 所以,以INPUT CHAIN为例,如果想打开某一个特定端口(比如TCP 1990),而屏蔽掉其它端口,应该这样配置:-A INPUT -p tcp --dport 1990 -j ACCEPT -A INPUT
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
hadoop常见问题及解决方法
12-23
hadoop常见问题及解决方法 Hadoop是大数据处理的重要工具,但是在安装和使用Hadoop时,可能会出现一些常见的问题,这些问题可能会导致Hadoop无法正常工作,或者无法达到预期的性能。下面是Hadoop常见的问题及解决...
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
CentOS7安装iptables防火墙的方法
09-15
本篇文章主要介绍了CentOS7安装iptables防火墙的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iptables的执行顺序
xiaoxiaozhu2010的专栏
06-19 1万+
Linux系统Iptables规则执行顺序详细讲解     预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。     1。The first is the mangle table which is responsible for the alteration of quality of service
iptables命令和防火墙规则的顺序
blog
07-21 935
网络故障排查中,经常要抓包,windows有wireshark,linux最常用的是tcpdump,其中被问得最多的一个问题"iptables限制后,tcpdump还能抓到包吗?显而易见,数据包到达网卡后,tcpdump有能力直接捕获到,不受iptables的影响,此时数据包还没有到达iptables的。链,到达APP后,处理完报文从iptables出去,出去最终要走到。链再到tcpdump,所以此时受到iptables的。...
iptables规则匹配是有顺序
jesseszr的博客
10-17 885
因此,如果需要加新ip地址,则需要在加完ip后重新设置一下。假设要只允许1个ip访问,设置以下两条规则,如果顺序为。
iptables)火墙策略读取的先后顺序 + 引入数据包状态
ly_qiu的博客
06-30 710
实验环境 本实验使用了两台虚拟机,workstation(添加策略) + rhel8(进行访问测试) dnf install httpd -y进行安装后,打开服务 此时ssh可访问,apache也可以 测试步骤 1)设置apache可被访问,iptables不可以 iptables -A INPUT -p tcp --dport 80 -j ACCEPT 设置httpd可以 iptables -A -i lo -j ACCEPT 设置回环接口允许,即本地可访问 此时80接口是允许的,回环接口
管理和设置iptables规则
INK
05-11 2228
管理和设置iptables规则 iptables的基本语法格式 Iptables[-t 表名] 命令选项 [链名] [目标条件] [-j 目标动作或跳转] 说明:表名,链名用于指定iptables命令所操作的表和链,命令选项用于指定 管理iptables规则的方式 (比如 插入 增加 删除 查看等)条件匹配用于指定对符合什么样的条件的数据进行处理 目标动作或跳转用于指定数据包的处理方式 (比如: 允许通过 拒绝 丢弃 跳转[jump] 给其他链进行处理) 常用命令: -A
初探iptables自动加载模块原理
pluton的专栏
04-16 2338
iptables使用dlopen加载动态库,每个库中都定义了void _init(void)函数,在使用dlopen加载库的时候系统会调用_init函数, 在_init函数中调用xtables_register_match对模块进行注册。iptables这种动态加载模块的方式很适合做定制开发,所以我就自己摸索了下。 我自己写了一个测试的例子: gcc -O2 -Wall  -fPIC -
Iptables 加载模块—解决 ./runme –download
weixin_33989058的博客
05-11 236
Iptables 加载模块—解决 ./runme –download 在网上收了好多文档大该都是差不多得:但就是到了./runme –download 就也错了。 查看内核版本 uname –a Linux localhost.localdomain 2.6.18-128.el5 #1 SMP Wed Dec 17 11:42:39 EST 2008 i6...
linux防火墙文件更改重新加载,Linux防火墙设置
weixin_39886238的博客
05-12 1322
Centos 7使用firewalld代替了原来的iptables。1、firewall相关的操作使用方法如下:>>> 关闭防火墙systemctl stop firewalld.service #停止firewallsystemctl startfirewalld.service #开启firewallsystemctl dis...
iptables配置防火墙规则并开启自动加载
weixin_43135696的博客
08-04 693
iptables配置防火墙规则并开启自动加载
iptables顺序
07-27
iptables 规则有一个默认的顺序,它会按照这个顺序逐个匹配规则,直到找到与数据包匹配的规则,然后执行该规则所定义的操作。如果没有找到匹配的规则,那么根据默认策略进行处理。 默认情况下,iptables 规则的顺序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值