湖南省怀化市鹤城区非税收入系统
两台DC5.0SP2上HA监控oracle,每台机器两块网卡。10.0.0为心跳,10.105.175是外网网段。
最近突然发现备机(2)这台机器,网络不通了。10.105.175段的所有机器都ping不通这台,从这台机器往外也无法ping出去。通过心跳10.0.0这个网卡,两台机器之间也是无法ping通的。
备机ping自己是通的,mii-tool是link ok的。而且也确定两个网口网线没有接错。备机10.105.175段网卡换了若干根网线,都是不通。将同款机器安装了window的硬盘换到此机器上,网络可用。说明网卡硬件没坏。从系统层上,将snortd停掉并设置开机不启动,用iptables -F清空iptables。仍然不通。
让起将ping的信息发过来,发现不通的提示并不是普通见到的网络不通,而是
ping: sendmsg: Operation not permitted。
此提示是防火墙的问题。通过日志可以看到很多信息防火墙drop包的信息
Dec 10 17:13:24 hcfs2 kernel: DROPPED IN=eth0 OUT= MAC=00:1a:64:c8:2a:8c:00:21:5e:26:ae:1c:08:00 SRC=10.0.0.1 DST=10.0.0.2 LEN=588 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1035 DPT=29002 LEN=568
清除防火墙规则
service iptables stop
iptables -F
网络立刻通了。但是机器自动重启了(因为HA,正常。)
系统起来之后,仍然网络不通,iptables -L有很多规则。分析发现系统iptables和snortd默认都不启动。
继续分析系统启动日志发现guarddog服务随内核启动
Dec 2 09:31:51 hcfs2 guarddog: Configuring iptables firewall now.
Dec 2 09:32:05 hcfs2 kernel: CPU4: Initial APIC ID: 4
Dec 2 09:31:51 hcfs2 guarddog: Finished configuring firewall
Dec 2 09:31:51 hcfs2 network: Bringing up loopback interface: succeeded
Dec 2 09:32:05 hcfs2 kernel: Intel machine check architecture supported.
Dec 2 09:31:55 hcfs2 guarddog: Configuring iptables firewall now.
Dec 2 09:32:05 hcfs2 kernel: Intel machine check reporting enabled on CPU#4.
Dec 2 09:31:55 hcfs2 guarddog: Finished configuring firewall
经确认,用户在图形界面下打开过guarddog,并且点击了确定。图形界面下的guarddog默认启动候,将drop所有的包。所以造成网络不通。
解决办法:
1、在图形界面guarddog界面最后一个标签里面,选种“禁用防火墙”,然后确定即可。
2、清空/etc/rc.fireware文件。重启即可
google搜索了一下,有一篇文章,里面也是同样的现象,但是他是有防火墙规则的,他已经解决了,他的解决方法是;怪异,我刚才冒着被无数人骂的危险,迅速service iptables stop断开网络,然后ping 127.0.0.1就可以,然后迅速重新运行脚本恢复网络运行,然后ping 127.0.0.1,还是报告ping: sendmsg: Operation not permitted
阅读(12499) | 评论(0) | 转发(0) |