我们在 Debian Lenny 系统上运行带有 iptables 的防火墙。我只向您展示我们防火墙的相关条目。
Chain INPUT (policy DROP 0 packets, 0 bytes)
target prot opt in out source destination
ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
target prot opt in out source destination
ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGDROP all -- * * 0.0.0.0/0 0.0.0.0/0
每天都有一些数据包被丢弃,日志消息如下:
2 月 5 日 15:11:02 host1 内核:[104332.409003] 丢弃 IN= OUT=eth0 SRC=<OWN_IP> DST=<REMOTE_IP> LEN=1420 TOS=0x00 PREC=0x00 TTL=64 ID=18576 S DF PROTO=TCP 80 DPT=59327 WINDOW=54 RES=0x00 ACK URGP=0
出于隐私原因,我用 <OWN_IP> 和 <REMOTE_IP> 替换了 IP 地址
这不是任何担心的理由,但我只是想了解发生了什么。Web 服务器尝试向客户端发送数据包,但防火墙以某种方式得出结论,该数据包与任何先前的流量“无关”。
我已将内核参数 ip_conntrack_ma 设置为足够高的值,以确保让 iptables 状态模块跟踪所有连接:
sysctl -w net.ipv4.netfilter.ip_conntrack_max=524288
有趣的是,我每 20 分钟就会断开一个连接:
06:34:54
06:52:10
07:10:48
07:30:55
07:51:29
08:10:47
08:31:00
08:50:52
09:10:50
09:30:52
09:50:49
10:11:00
10:30:50
10:50:56
11:10:53
11:31:00
11:50:49
12:10:49
12:30:50
12:50:51
13:10:49
13:30:57
13:51:01
14:11:12
14:31:32
14:50:59
15:11:02
那是从今天开始,但在其他日子看起来也是这样(有时比率会有所不同)。
可能是什么原因?
任何帮助是极大的赞赏。亲切的问候詹宁