Chinaunix首页 | 论坛 | 博客
  • 博客访问: 594991
  • 博文数量: 248
  • 博客积分: 52
  • 博客等级: 民兵
  • 技术积分: 1028
  • 用 户 组: 普通用户
  • 注册时间: 2012-12-23 12:05
文章分类

全部博文(248)

文章存档

2016年(7)

2013年(241)

分类: LINUX

2013-04-09 04:59:26


湖南省怀化市鹤城区非税收入系统

两台DC5.0SP2上HA监控oracle,每台机器两块网卡。10.0.0为心跳,10.105.175是外网网段。
最近突然发现备机(2)这台机器,网络不通了。10.105.175段的所有机器都ping不通这台,从这台机器往外也无法ping出去。通过心跳10.0.0这个网卡,两台机器之间也是无法ping通的。

备机ping自己是通的,mii-tool是link ok的。而且也确定两个网口网线没有接错。备机10.105.175段网卡换了若干根网线,都是不通。将同款机器安装了window的硬盘换到此机器上,网络可用。说明网卡硬件没坏。从系统层上,将snortd停掉并设置开机不启动,用iptables  -F清空iptables。仍然不通。

让起将ping的信息发过来,发现不通的提示并不是普通见到的网络不通,而是

ping: sendmsg: Operation not permitted。

此提示是防火墙的问题。通过日志可以看到很多信息防火墙drop包的信息
Dec 10 17:13:24 hcfs2 kernel: DROPPED IN=eth0 OUT= MAC=00:1a:64:c8:2a:8c:00:21:5e:26:ae:1c:08:00 SRC=10.0.0.1 DST=10.0.0.2 LEN=588 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1035 DPT=29002 LEN=568

清除防火墙规则
service  iptables  stop
iptables -F
网络立刻通了。但是机器自动重启了(因为HA,正常。)

系统起来之后,仍然网络不通,iptables -L有很多规则。分析发现系统iptables和snortd默认都不启动。
继续分析系统启动日志发现guarddog服务随内核启动
Dec  2 09:31:51 hcfs2 guarddog: Configuring iptables firewall now.
Dec  2 09:32:05 hcfs2 kernel: CPU4: Initial APIC ID: 4
Dec  2 09:31:51 hcfs2 guarddog: Finished configuring firewall
Dec  2 09:31:51 hcfs2 network: Bringing up loopback interface:  succeeded
Dec  2 09:32:05 hcfs2 kernel: Intel machine check architecture supported.
Dec  2 09:31:55 hcfs2 guarddog: Configuring iptables firewall now.
Dec  2 09:32:05 hcfs2 kernel: Intel machine check reporting enabled on CPU#4.
Dec  2 09:31:55 hcfs2 guarddog: Finished configuring firewall

经确认,用户在图形界面下打开过guarddog,并且点击了确定。图形界面下的guarddog默认启动候,将drop所有的包。所以造成网络不通。

解决办法:
1、在图形界面guarddog界面最后一个标签里面,选种“禁用防火墙”,然后确定即可。
2、清空/etc/rc.fireware文件。重启即可



google搜索了一下,有一篇文章,里面也是同样的现象,但是他是有防火墙规则的,他已经解决了,他的解决方法是;怪异,我刚才冒着被无数人骂的危险,迅速service iptables stop断开网络,然后ping 127.0.0.1就可以,然后迅速重新运行脚本恢复网络运行,然后ping 127.0.0.1,还是报告ping: sendmsg: Operation not permitted

阅读(12429) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~