事件1、
rh5.4做网关(eth1是一个大厦的光纤内网,10段,eth1一个192段,192段还有个adsl出口网关),
防火墙一直用得好好的。昨天大概半夜停电过一次以后自动重启
今天早上一来ssh连接不上去了,
发现一开防火墙内网就ssh连接不上,抓包是有包进去的,telnet也可以连接端口,但是连接后空白没有
ssh服务器提示。iptables一条一条删除规则,发现里面mangle表里out put里给ssh打了mark标记ssh
就没办法登陆。之前一直靠这个标记来换出口网关(另外一个adsl出口网关)好让外网能nat访问,
麻痹这下好了,打了标记的就不能登陆了。擦,这啥子原因?
最后还得靠自己解决
原来我/etc/rc.local里有
|
ip route add via 192.168.1.1 dev eth0 table 10
#ip route add 192.168.1.0/24 proto kernel dev eth0 src 192.168.1.3 table 10
ip rule add from 0/0 fwmark 0x3 table 10 pref 10
ip route flush cache
把注释掉的那行运行下就OK了
原来iproute 遇到有标记的如果没指定table就TM的有问题我草
事件2、
本来raw表里我从来不处理ssh端口的内容的,手抽加了下
-A PREROUTING -p tcp -m tcp -m multiport --dports 1521,22 -j NOTRACK
-A OUTPUT -p tcp -m tcp -m multiport --sports 1521,22 -j NOTRACK
发现ssh不能登陆。
配置文件里加上
-A INPUT -i eth1 -p tcp -m multiport --dports 1521,22 -j ACCEPT
后内网可以登陆了,-v-这样看来是ssh端口的规则因为notrack失效了
测试了下发现是raw表里NOTRACK规则导致下面规则失效
NOTRACK和limit标记有冲突...我了个草
顺便备份一个linux高级流量控制中文版的 pdf
阅读(5431) | 评论(0) | 转发(0) |
LARTC-zh_CN.zip