CentOS7下防火墙网络问题的诊断经历

最新推荐文章于 2024-03-07 17:43:54 发布
最新推荐文章于 2024-03-07 17:43:54 发布
阅读量620 收藏
点赞数
文章标签: firewalld linux iptables coredns
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueguan_luo/article/details/97007492
版权

问题描述

在安装kubernetes过程中,一直打开防火墙配置,并配置coredns,但在node节点遇到解释超时问题,怀疑是防火墙的问题。

诊断过程

关闭防火墙进行测试

systemctrl stop firewalld

关闭防火墙后,coredns解释正常,因此确定是防火墙的问题。
查看iptables的包拒绝情况,发现FORWARD链最后有REJECT了一些包。

# iptables -nvL --line | head -25
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     135K   16M KUBE-FIREWALL  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2     138K   17M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4     1048 62566 INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
5     1048 62566 INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
6     1048 62566 INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
7      146  5840 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
8       40  3754 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     4003 1060K KUBE-FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* kubernetes forwarding rules */
2     1795  961K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4     2208 99435 FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
5     2208 99435 FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
6     2208 99435 FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
7     2208 99435 FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
8     2208 99435 FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
9        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
10    2208 99435 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
...

开启iptables日志定位ash

# iptables -I FORWARD 10 -j LOG --log-prefix "FORWARD"
# tail -f /var/log/messages
Jul 23 11:45:07 node2 kernel: FORWARDIN=flannel.1 OUT=docker0 MAC=7a:97:e0:cf:94:b9:5e:40:16:d4:91:8c:08:00 SRC=172.30.59.0 DST=172.30.32.2 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=32595 DF PROTO=TCP SPT=48864 DPT=53 WINDOW=28200 RES=0x00 SYN URGP=0 
Jul 23 11:45:08 node2 kernel: FORWARDIN=docker0 OUT=ens33 PHYSIN=vethb838c46 MAC=02:42:56:97:34:61:02:42:ac:1e:20:02:08:00 SRC=172.30.32.2 DST=192.168.5.2 LEN=45 TOS=0x00 PREC=0x00 TTL=63 ID=43751 DF PROTO=UDP SPT=37873 DPT=53 LEN=25 
Jul 23 11:45:08 node2 kernel: FORWARDIN=docker0 OUT=ens33 PHYSIN=vethb838c46 MAC=02:42:56:97:34:61:02:42:ac:1e:20:02:08:00 SRC=172.30.32.2 DST=192.168.5.2 LEN=45 TOS=0x00 PREC=0x00 TTL=63 ID=43767 DF PROTO=UDP SPT=56901 DPT=53 LEN=25

可以看出,源地址为SRC=172.30.32.2发出访问目标端口DPT=53(DNS)的包被拦截了。

解决问题

修改防火墙规则,再进行测试后DNS成功。然后修改docker的服务配置,在重新启动时加载规则。

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s 172.30.0.0/16 -j ACCEPT
# vim /usr/lib/systemd/system/docker.service
[Service]
ExecStartPost=/usr/bin/firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s 172.30.0.0/16 -j ACCEPT
...

最后,清除上面添加的日志跟踪:

# iptables -nvL --line #找出FORWARD链的LOG所在的行数
# iptables -D FORWARD 10
学贯
关注
Linux网络故障排查(centos7、centos8)
renfeigui0的博客
02-02 2964
Linux网络故障排查
计算机网络和配置管理
weixin_51943889的博客
12-30 3544
网络协议和网络配置
CentOS7上解决tomcat不能被外部浏览访问的问题
热门推荐
Karan_01的博客
06-27 1万+
linux上开启的tomcat使用浏览器访问不了。 主要原因在于防火墙的存在,导致的端口无法访问。 CentOS7使用firewall而不是iptables。所以解决这类问题可以通过添加firewall的端口,使其对我们需要用的端口开放。 1.使用命令  firewall-cmd --state查看防火墙状态。得到结果是running或者not running 2.在running 状态
【CentOS】Linux CentOS7检查是否联网
qq_25285531的博客
12-11 7374
在“/etc/sysconfig/network-scripts/ifcfg-ens33”里面配置网络,注意ens33中的数字是随机的。ping的通说明可以联网,ping不通说明连不上网,可以根据一下步骤操作。先检查是否可以联网,ping www.baidu.com。1.ifconfig命令 查看网络配置是否有问题
CentOS 安装完后网络检查
weixin_34337265的博客
08-24 454
CentOS 7 安装完后,默认一般都是最小化安装,最小化安装一般的命令是没有的,包括网络检查命令,比如 ifconfig\netstat 等,这里我们来聊聊最小化安装后网络相关设置对于运维工程师来说,如果没有上述几个命令是一个很头疼的问题,CentOS 提供了 net-tools 工具,此工具包括了常用的 网络命令,但当我们用 yum install net-t...
CentOS网络故障排查秘笈:实战指南
最新发布
凡夫编程
03-07 2645
作为一名热爱折腾 Linux 的技术达人,我深知网络故障会让人抓狂!在这篇文章里,我和你分享了我的心得体会,从如何分析问题、识别瓶颈,到利用各种神器解决网络难题。不管你是新手小白还是老鸟大神,这里都有适合你的解决方案。赶紧看一看吧,让网络故障成为你的过去式! 我平时使用CentOS系统比较多,所以我在写这篇文章的时候所使用的操作系统是CentOS7,如果你使用的是Ubuntu,也没有关系,排除网络故障的过程是一样的,不同的是可能使用命令工具、配置文件会有所不同,希望我的分享给能你带来一些帮助。
Linux网络文件系统(NFS)部署和管理:专家级操作手册
![Linux网络文件系统(NFS)部署和管理:专家级操作手册]...NFS协议的发展经历了多个版本,从早期的NFSv2、NFSv3到现代广泛应用的NFSv4,每个版本的改进都使NFS变得更加高效和安全。
Linux服务器安装前的准备】:硬件与网络配置要点
对于硬件要求的了解,可以避免在安装和使用过程中遇到不必要的性能瓶颈和兼容性问题。 ## 硬件规格概述 Linux服务器对于硬件规格的要求并不苛刻,但对于性能和稳定性有较高要求的场合,以下几点是需要重点考虑的:...
桌面运维实习报告3000字.pdf
11-24
这通常涉及网络诊断工具(如ping、tracert)的使用,以及问题定位和解决策略的制定。 6. 值班任务与应对:值班期间,运维工程师需监控网络状态,如发现网络异常,需进行初步诊断并通知客服。这包括判断问题所在...
Linux多用户环境下的资源共享:NFS和Samba服务配置,实现高效的数据共享
[Linux多用户环境下的资源共享:NFS和Samba服务配置,实现高效的数据共享](https://www.groovypost.com/wp-content/uploads/2023/09/Adding-NFS-mount-to-fstab.jpg) # 1. Linux多用户环境概述 Linux作为一个强大的...
简单的状态防火墙
leoysq的博客
03-06 1万+
https://wiki.archlinux.org/index.php/Simple_stateful_firewall#Port_knocking 先决条件 注意:您的内核需要使用iptables支持进行编译。所有股票Arch Linux内核都有iptables支持。 首先,安装userland实用程序iptables或验证它们是否已经安装。 本文假设当前没有设置i
kubedns-coredns部署pod出现not ready问题
u012533481的博客
11-25 2498
文章目录遇到的问题1、发现问题2、排查问题3、解决方法 coredns的实例health_check不通过的问题,排查和解决方法 遇到的问题 1、发现问题 pod启动但是未ready 查看是readiness失败 使用对应的URL进行curl,发现真的返回503 2、排查问题 查看错误日志,发现一堆这个错误"waiting on : kubernetes" 网上相关的问题解答 这个跟测试场景不一样,这个案例是开了防火墙,可以确认我这个案例的机器没有开防火墙,但它提醒了一点,coredns是需要访问ap
iptables
death_kada的博客
06-17 2691
一.概述 iptables利用数据包过滤机制,根据数据包的分析资料“比对”预先定义的规则,若数据包数据与规则内容相同则进行相应的动作,否则比对下一条规则,类似于网络设备中的ACL。 二.iptables的表格(table)与链(chain) 1.Linuxiptables至少有三个table:包括管理本机进出的Filter、管理后端主机(防火墙内部的其他计算机)的NAT、管理特殊标
CENTOS 7 FIREWALLD
mihaoyun.com的专栏
05-11 326
修改防火墙配置文件之前,需要对之前防火墙做好备份 重启防火墙后,需要确认防火墙状态和防火墙规则是否加载,若重启失败或规则加载失败,则所有请求都会被防火墙。 1.firewall-cmd --state#查看firewall的状态 firewall-cmd --list-all#查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙策略) firewall-cmd --list-all-zones#查看所有的防火墙...
linux打开oracle 监听端口号,Linux下的启动oracle服务 启动监听 开放端口操作
weixin_39819138的博客
04-04 337
使用root用户将没有sqlplus命令[root@localhost ~]# sqlplus /nologbash: sqlplus: 未找到命令...[root@localhost ~]# su oracle[oracle@localhost root]$ sqlplus /nologbash: sqlplus: 未找到命令...切换为oracle账户尝试登录oracle 此处的/和as之间要...
iptables知识点总结
u012271055的专栏
01-04 3641
文章目录一、 一、
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2444
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
CentOS firewalld笔记
hknaruto的专栏
10-28 624
默认配置下,iptables filter规则 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
kubernetes上的服务发现-CoreDNS配置
菲宇运维
09-09 4856
一、CoreDNS简介 Kubernetes包括用于服务发现的DNS服务器Kube-DNS。 该DNS服务器利用SkyDNS的库来为Kubernetes pod和服务提供DNS请求。SkyDNS2的作者,Miek Gieben,创建了一个新的DNS服务器,CoreDNS,它采用更模块化,可扩展的框架构建。 Infoblox已经与Miek合作,将此DNS服务器作为Kube-DNS的替代品。 Co...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值