Tham gia Đăng nhập
Điểm:0
avatar Server

Tại sao iptables chặn lưu lượng quay lại?

lá cờ at
Stefan Lasiewski

Hệ điều hành: Ubuntu 18.04.6 Loại tường lửa: IPtables. UFW bị vô hiệu hóa.

Tôi có cụm Kubernetes với 3 nút cung cấp dịch vụ bảng điều khiển và etcd, có tên là cp01, cp02 và cp03.

tôi thấy rằng v.v. lưu lượng truy cập từ mỗi nút Controlplane/etcd hoạt động tốt. Ứng dụng etcd dường như đang hoạt động, mặc dù tôi nhận thấy rằng tôi không thể thực hiện một số thao tác như vvdctl bầu một nhà lãnh đạo mới.

Tôi nhận thấy rằng đôi khi lưu lượng quay lại bị chặn. Đây là một thông báo nhật ký ví dụ hiển thị khối:

Ngày 23 tháng 5 09:34:55 kernel cp02: [1245818.175864] DROP-INPUT: IN=eth2 OUT= MAC=00:50:AA:BB:CC:DD:00:50:AA:BB:CC:11:08: 00 SRC=192.168.101.188 DST=192.168.101.189 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=2380 DPT=36532 WINDOW=0 RES=0x00 RST URGP=0

Tôi không hiểu tại sao những gói tin này bị loại bỏ. IPtables có quy tắc chấp nhận tất cả LIÊN QUAN, THÀNH LẬP giao thông đường bộ. Đôi khi, có vẻ như điều đó không xảy ra và các gói đang thực sự bị loại bỏ.

Đây là phần có liên quan của IPtables. Lưu ý những điều dưới đây:

  • Các dòng 1-3 được chèn bởi Kubernetes.
  • Các dòng 4-7 là các quy tắc tiêu chuẩn (tôi tin là như vậy.)
  • Dòng 22 & 23 sẽ đăng nhập sau đó loại bỏ tất cả các gói không khớp với quy tắc hiện có
  • Dòng 7 chấp nhận tất cả lưu lượng LIÊN QUAN, ĐÃ THÀNH LẬP-- nghĩa là, nếu lưu lượng đi qua máy chủ này, nó có thể quay lại máy chủ này vì nó được đánh dấu là lưu lượng có liên quan hoặc đã thiết lập. Tuy nhiên, thông báo nhật ký ở trên cho thấy điều này không xảy ra.
cp03:~ # iptables -t filter -L INPUT --line-numbers -v
Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
num pkts byte target prot opt ​​in out đích nguồn
1 2763 407K cali-INPUT all -- bất kỳ bất kỳ nơi nào bất kỳ nơi nào /* cali:Cz_abcdefghijklm */
2 2763 407K KUBE-TƯỜNG LỬA tất cả -- mọi nơi mọi nơi
3 32 6559 KUBE-EXTERNAL-SERVICES tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu ctstate MỚI /* cổng dịch vụ kubernetes hiển thị bên ngoài */
4 1 84 CHẤP NHẬN icmp -- bất kỳ nơi nào bất kỳ nơi nào /* 000 chấp nhận tất cả icmp */
5 773 112K CHẤP NHẬN tất cả -- lo mọi nơi mọi nơi /* 001 chấp nhận tất cả giao diện lo */
6 0 0 TỪ CHỐI tất cả -- !lo mọi nơi localhost/8 /* 002 từ chối lưu lượng truy cập cục bộ không trên giao diện loopback */ từ chối với icmp-port-không thể truy cập
7 1958 288K CHẤP NHẬN tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ trạng thái nào LIÊN QUAN, ĐÃ THÀNH LẬP /* 003 chấp nhận các quy tắc đã thiết lập có liên quan */
8 0 0 CHẤP NHẬN tcp -- bất kỳ bất kỳ admin.example.org nào ở bất kỳ đâu đa cổng dports ssh /* 101 Cho phép SSH từ máy chủ quản lý từ 192.168.100.16 */
9 0 0 CHẤP NHẬN udp -- bất kỳ cp01.example.org bất kỳ ở bất kỳ đâu đa cổng dports 8472 /* 101 Mạng lớp phủ Canal/Flannel VXLAN từ 192.168.101.188 */
10 0 0 CHẤP NHẬN udp -- bất kỳ bất kỳ cp02.example.org nào ở bất kỳ đâu đa cổng dports 8472 /* 101 Mạng lớp phủ Canal/Flannel VXLAN từ 192.168.101.189 */
11 0 0 CHẤP NHẬN udp -- bất kỳ bất kỳ cp03.example.org nào ở bất kỳ đâu đa cổng dports 8472 /* 101 Mạng lớp phủ Canal/Flannel VXLAN từ 192.168.101.190 */
12 0 0 CHẤP NHẬN tcp -- bất kỳ bất kỳ cp01.example.org nào ở bất kỳ đâu đa cổng dports 6443 /* 101 Kubernetes apiserver từ 192.168.101.188 */
13 0 0 CHẤP NHẬN tcp -- bất kỳ bất kỳ cp02.example.org nào ở bất kỳ đâu đa cổng dports 6443 /* 101 Kubernetes apiserver từ 192.168.101.189 */
14 0 0 CHẤP NHẬN tcp -- bất kỳ bất kỳ cp03.example.org nào ở bất kỳ đâu đa cổng dports 6443 /* 101 Kubernetes apiserver từ 192.168.101.190 */
15 4 220 CHẤP NHẬN tcp -- bất kỳ cp01.example.org bất kỳ ở bất kỳ đâu đa cổng dports 2379:2380 /* 101 etcd yêu cầu máy khách từ 192.168.101.188 */
16 4 220 CHẤP NHẬN tcp -- bất kỳ cp02.example.org bất kỳ ở bất kỳ đâu đa cổng dports 2379:2380 /* 101 etcd yêu cầu máy khách từ 192.168.101.189 */
17 0 0 CHẤP NHẬN tcp -- bất kỳ cp03.example.org bất kỳ ở bất kỳ đâu đa cổng dports 2379:2380 /* 101 etcd yêu cầu máy khách từ 192.168.101.190 */
18 0 0 CHẤP NHẬN tcp -- bất kỳ cp01.example.org bất kỳ ở bất kỳ đâu nhiều cổng dports 10250 /* 101 kubelet API từ 192.168.101.188 */
19 0 0 CHẤP NHẬN tcp -- bất kỳ cp02.example.org bất kỳ ở bất kỳ đâu nhiều cổng dports 10250 /* 101 kubelet API từ 192.168.101.189 */
20 0 0 CHẤP NHẬN tcp -- bất kỳ cp03.example.org bất kỳ ở bất kỳ đâu nhiều cổng dports 10250 /* 101 kubelet API từ 192.168.101.190 */
21 1 40 ĐĂNG NHẬP tất cả -- bất kỳ bất kỳ đâu bất kỳ giới hạn nào: trung bình 3/phút bùng nổ 5 /* 998 Ghi lại tất cả các lần rớt */ Tiền tố cảnh báo mức LOG "DROP-INPUT: "
22 1 40 DROP all -- bất kỳ bất kỳ nơi nào bất kỳ nơi nào /* 999 bỏ tất cả các yêu cầu khác */
19
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.