înregistrare Logare
Puncte:0
avatar Server

De ce iptables blochează traficul de retur?

drapel at
Stefan Lasiewski

OS: Ubuntu 18.04.6 Tip firewall: IPtables. UFW este dezactivat.

Am un cluster Kubernetes cu 3 noduri care furnizează servicii de controlplane și etcd, numite cp01, cp02 și cp03.

Vad asta etcd traficul de la fiecare dintre nodurile Controlplane/etcd funcționează bine. Aplicația etcd pare să funcționeze, deși am observat că nu pot face unele lucruri precum etcdctl elect un nou lider.

Am observat că uneori traficul de retur se blochează. Iată un exemplu de mesaj de jurnal care arată blocul:

23 mai 09:34:55 cp02 kernel: [1245818.175864] DROP-INPUT: IN=eth2 OUT= MAC=00:50:AA:BB:CC:DD:00:50:AA:BB:CC:11:08: 00 SRC=192.168.101.188 DST=192.168.101.189 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=2380 DPT=36532 WINDOW=0 RESST=0URGP=0 REST=0

Nu înțeleg de ce aceste pachete sunt aruncate. IPtables are o regulă de a accepta toate LEGATE, STABILIT trafic. Se pare că, uneori, asta nu se întâmplă și pachetele sunt de fapt aruncate.

Aici este secțiunea relevantă din IPtables. Rețineți următoarele:

  • Liniile 1-3 sunt inserate de Kubernetes.
  • Rândurile 4-7 sunt reguli standard (cred că sunt.)
  • Liniile 22 și 23 se vor înregistra, apoi vor elimina toate pachetele care nu se potrivesc cu o regulă existentă
  • Linia 7 acceptă tot traficul RELATED,STABLISHED -- adică, dacă traficul a ieșit prin această gazdă, se poate întoarce la această gazdă, deoarece a marcat ca trafic asociat sau stabilit. Cu toate acestea, mesajul de jurnal de mai sus sugerează că acest lucru nu se întâmplă.
cp03:~ # iptables -t filter -L INPUT --line-numbers -v
INTRARE în lanț (politica ACCEPT 0 pachete, 0 octeți)
num pkts octeți target prot opt ​​in out sursă destinație
1 2763 407K cali-INPUT all -- oriunde oriunde oriunde /* cali:Cz_abcdefghijklm */
2 2763 407K KUBE-FIREWALL toate -- oriunde oriunde oriunde
3 32 6559 KUBE-EXTERNAL-SERVICES toate -- oriunde oriunde oriunde ctstate NOU /* kubernetes portaluri de servicii vizibile extern */
4 1 84 ACCEPT icmp -- oriunde oriunde oriunde /* 000 acceptă toate icmp */
5 773 112K ACCEPT all -- oriunde oriunde oriunde /* 001 accept all to lo interfață */
6 0 0 REJECT all -- !lo anywhere localhost/8 /* 002 respinge traficul local nu pe interfața loopback */ reject-with icmp-port-unreachable
7 1958 288K ACCEPT pe toate -- orice oriunde oriunde oriunde stat RELATED,STABLISHED /* 003 acceptă regulile stabilite aferente */
8 0 0 ACCEPT tcp -- any any any admin.example.org oriunde multiport dports ssh /* 101 Permite SSH de la serverele de management de la 192.168.100.16 */
9 0 0 ACCEPT udp -- any any any cp01.example.org oriunde multiport dports 8472 /* 101 Canal/Flannel VXLAN overlay networking from 192.168.101.188 */
10 0 0 ACCEPT udp -- any any cp02.example.org oriunde multiport dports 8472 /* 101 Canal/Flannel VXLAN overlay networking from 192.168.101.189 */
11 0 0 ACCEPT udp -- any any any cp03.example.org oriunde multiport dports 8472 /* 101 Canal/Flannel VXLAN overlay networking from 192.168.101.190 */
12 0 0 ACCEPT tcp -- any any cp01.example.org oriunde multiport dports 6443 /* 101 Kubernetes apiserver de la 192.168.101.188 */
13 0 0 ACCEPT tcp -- any any cp02.example.org oriunde multiport dports 6443 /* 101 Kubernetes apiserver de la 192.168.101.189 */
14 0 0 ACCEPT tcp -- any any cp03.example.org oriunde multiport dports 6443 /* 101 Kubernetes apiserver de la 192.168.101.190 */
15 4 220 ACCEPT tcp -- orice orice cp01.example.org oriunde multiport dports 2379:2380 /* 101 cereri client etcd de la 192.168.101.188 */
16 4 220 ACCEPT tcp -- orice orice cp02.example.org oriunde multiport dports 2379:2380 /* 101 solicitări client etcd de la 192.168.101.189 */
17 0 0 ACCEPT tcp -- orice orice cp03.example.org oriunde multiport dports 2379:2380 /* 101 solicitări client etcd de la 192.168.101.190 */
18 0 0 ACCEPT tcp -- any any cp01.example.org oriunde multiport dports 10250 /* 101 kubelet API de la 192.168.101.188 */
19 0 0 ACCEPT tcp -- any any cp02.example.org oriunde multiport dports 10250 /* 101 kubelet API de la 192.168.101.189 */
20 0 0 ACCEPT tcp -- any any cp03.example.org oriunde multiport dports 10250 /* 101 kubelet API de la 192.168.101.190 */
21 1 40 Înregistrați toate -- oriunde oriunde oriunde limită: medie 3/min burst 5 /* 998 Înregistrați toate picăturile */ Prefix de avertizare la nivel de LOG „DROP-INPUT:”
22 1 40 DROP all -- oriunde oriunde oriunde /* 999 abandonează toate celelalte solicitări */
19
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.