桥口流入的大包报文经过 iptables 后,无法送达的问题分析

最新推荐文章于 2023-05-10 09:26:12 发布
最新推荐文章于 2023-05-10 09:26:12 发布
阅读量565 收藏
点赞数
分类专栏: linux iptables 安全 文章标签: bridge
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yk_wing4/article/details/102740102
版权

1. 问题分析

问题:

  • 桥口流入的大包报文经过 iptables 后,无法送达。

背景:

  • 内核:3.10
  • 系统:centos7
  • 桥口流入的报文,经过 iptables 处理。

拓扑:

                           trunk                      trunk
           access         vlan:10                    vlan:10        access
    [pc1]--------[switch1]------------[firewall]-----------[switch2]----------[pc2]

问题表现:

  • 当 pc1 对 pc2 发送大包的时候,switch1 会加上 vlan tag。
  • 大包经过 iptables 之后,iptables 会重组,再分片,vlan tag 被去除。
  • 最后 导致报文无法通过 switch2。

根本原因:

  • net.bridge.bridge-nf-filter-vlan-tagged 设置了为 1。
  • 所以大包经过桥口上到 iptables 后,会重组,再分片,所以去掉 vlan tag。

2. 修正动作

2.1 修改配置文件

不要将从桥口上来,带 vlan tag 的报文经过 iptables。
设置 net.bridge.bridge-nf-

最低0.47元/天 解锁文章
Andrew Yang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 网络透传,配置bridge后,透传的数据包未经过iptables问题的解决
weixin_39788703的博客
05-05 721
初始环境为两台运行LinuxMint的虚拟机,一台linux内核为3.19(1),另一台内核为3.13(2)。希望在两台虚拟机中配置bridge防火墙,配置bridge后两台虚拟机都成功成为接设备(到达eth0的数据包,经过bridge接口透明传输至eth1,反之亦然)。配置iptablesiptables -P FORWARD DROP配置后,数据包无法透明传输通过机器(2),但依然能通过机...
linux 禁用iptables,在老版本Linux上启用iptables(禁止ipchains)
weixin_34315803的博客
05-29 1041
最近在RH 6.1、COSIX 3.1服务器上配置iptables,被ipchains弄得半死。iptables需要加入ip_tables模块,但是由于ipchains从中作梗,每次都报错。[root@cosix-31-oracle-01 /root]# iptables --list/lib/modules/2.4.18-5smp/kernel/net/ipv4/netfilter/ip_tab...
配置bridge后,透传的数据包未经过iptables问题的解决
cheyo809775692的博客
03-06 1030
初始环境为两台运行LinuxMint的虚拟机,一台linux内核为3.19(1),另一台内核为3.13(2)。 希望在两台虚拟机中配置bridge防火墙,配置bridge后两台虚拟机都成功成为接设备(到达eth0的数据包,经过bridge接口透明传输至eth1,反之亦然)。 配置iptabl...
解决iptables导致无法联网的问题
倚竹幽篁
03-01 4979
问题 先说下我的单机环境是Ubuntu 16.04,只放了点小应用,一直没升级系统(懒),防火墙规则也是简单地使用iptables来控制。 今天我因需要重启服务器之后,发现突然连不上了,ssh无法连接,ping也不通,我开始慌了。于是我只能进入云服务器商的后台,用网页版登录,不管你是阿里云还是腾讯云还是国外的服务商,现在大多都有这种功能。 进去之后,先任意ping一个公网IP,提示 “Network is unreachable” ,看来这互联网是彻底断了。用ifconfig也能发现本机的公网IP看不见了。
/proc/net参数介绍(三)
bingyu的博客
06-19 2919
/proc/net参数介绍(三) 官网参考地址:https://www.cyberciti.biz/files/linux-kernel/Documentation/networking/ip-sysctl.txt 参数介绍: /proc/sys/net/ipv4/* Variables: ip_forward - BOOLEAN 0 - disabled (default) not 0 -...
iptables_Semantics:经过验证的iptables防火墙规则集分析
02-04
iptables_语义 Linux netfilter iptables防火墙的形式语义。 用交互式证明助手编写。 它具有 IPv4 / IPv6地址的真实模型为32位/ 128位机器字。 可执行代码。 支持iptables过滤器表中的所有常见操作:ACCEPT,DROP...
Linux为FTP服务器添加iptables规则–案例分析
01-09
后来谷歌后,发现ftp的iptables 规则比其它应用不太像,有点特别。需要特别的修改下防火墙。(询问后,得知之前其它运维同事加固过该机器的防火墙….)  二、解决方式  1.在原有的防火墙规则中加入以下规则。 ...
修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
01-10
iptables里面仅仅开放了80、21等常用端口,这样就导致了vsFTPd在被动模式时无法使用随机端口,从而造成了客户端连接FTP时无法列出目录这样的问题。解决方式很简单,给vsFTPd增加随机端口的范围,然后把这个端口范围...
Docker中iptables规则在iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Docker中iptables规则在iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
大神分析:关于旁路由设置后,主路由WIFI无法上网的问题「建议收藏」
namekong8的博客
05-10 5163
旁路由设置好后,手机、电脑连接主路由 WIFI,会无法访问外网。但是,如果电脑用网线连接主路由,则可以正常上网。这究竟是怎么一回事儿呢?
Kernel Source片段 -- bridge-nf-call-iptables处理
Liping Mao's Blog
01-23 4438
kernel version:2.6.32.61 openstack neutron的security group会用到kernel的bridge-nf-call-iptables feature。使流过的流量也进入iptables/netfilter框架中。 可以通过以下proc查看kernel是否开启了bridge-nf-call-iptables: # cat /proc/s
kvm vlan bridge
zheng的博客
06-28 821
From: http://blog.davidvassallo.me/2012/05/05/kvm-brctl-in-linux-bringing-vlans-to-the-guests/Irecently had the opportunity to setup a KVM machine running on a Centosmachine. Tools such as Virtual Mac...
Kubernetes 问题总结
专注基础架构领域
08-02 6023
问题一: 防火墙,没有关闭,所以安装时,一定要检查仔细 问题二:centos7添加bridge-nf-call-ip6tables出现No such file or directory 解决: 解决方法: [root@localhost ~]# modprobe br_netfilter [root@localhost ~]# ls /proc/sys/net/bridge bridge-...
Kubernetes 第三章 kubeadm
weixin_30787531的博客
07-04 271
kubeadm https://kubernetes.io/zh/docs/reference/setup-tools/kubeadm/kubeadm-init/ Kubeadm是一个工具,旨在提供kubeadm init和kubeadm join最佳实践“快速路径”,用于创建Kubernetes集群。 kubeadm执行必要的操作以使最小的可行群集启动并运行。按照设计,它只关心自...
002 - k8s -安装k8s集群
qq_35315314的博客
12-28 370
准备CentOS7.6版本的宿主机 准备k8s所需环境 安装Docker 安装k8s
部署一个 Containerd 容器运行时的 Kubernetes 集群
DevOps持续集成的博客
09-02 910
前面我们介绍了 containerd 的基本使用,也了解了如何将现有 docker 容器运行时的 Kubernetes 集群切换成 containerd,接下来我们使用 kubeadm 从...
centos7添加bridge-nf-call-ip6tables出现No such file or directory
weixin_34162629的博客
07-01 764
在/etc/sysctl.conf中添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1   [root@localhost ~]# cat /etc/sysctl.conf net.bridge.bridge-nf-call-ip6tables = 1 net.bridge...
Kubernets 1.22 集群安装
班婕妤
04-04 2445
从kubernetes 1.22开始,kubernetes正式不再支持docker作为其容器运行时,本篇文档,我们使用containerd作为其运行时,用kubeadm部署一个单master的kubernetes集群 整个安装过程分为如下几个步骤: 环境说明 集群部署 安装add-ons 集群维护 附录 环境说明 各组件部署示意图: ![](https://img-blog.csdnimg.cn/img_convert/ca539b76046630ce1202938d6dac01d5.png#a.
Kubeadm安装k8s集群v1.19.3
Weirdo_
06-08 442
使用Kubeadm安装k8s集群v1.19.3
iptables放行所有报文
最新发布
11-03
根据提供的引用内容,没有找到iptables放行所有报文的命令。但是可以通过以下命令放行特定IP地址的报文iptables -t filter -A INPUT -s 6.6.6.1 -j ACCEPT 其中,-s参数指定源IP地址,-j参数指定接受动作为ACCEPT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值