我在 UFW 中有这些规则(默认拒绝):
80 ALLOW 10.0.0.0/8
443 ALLOW 10.0.0.0/8
80 DENY Anywhere
443 DENY Anywhere
我正在从 10.0.0.0/8 上的一台机器连接到侦听端口 80 的 Apache。我们注意到在另一台机器上运行的 nginx(这台 apache 机器前面的负载平衡器)偶尔会抛出“连接超时”错误。我可以通过简单地在 bash 脚本中运行 for 循环来重新创建超时,该脚本从那台 nginx 机器访问端口 80。在 1000 次测试中,我可能会遇到 3 或 4 次超时。
在 /var/log/messages 中,超时发生时我会看到这些:
12 月 1 日 01:01:01 webserver.mydomain.com 内核:[UFW BLOCK] IN=eth0 OUT= MAC=00:11:22:33:44:55:66:77:88:99:aa:bb:cc :dd SRC=10.0.0.5 DST=10.0.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16923 DF PROTO=TCP SPT=60064 DPT=80 WINDOW=5792 RES=0x00 SYN URGP=0
为什么UFW会阻止这些?如果我禁用 UFW,这些连接超时将完全消失,一切都按预期工作。其他端口(如 22)没有这个问题,我可以运行脚本来无休止地敲打那些,即使 ufw 激活也没有任何问题。
ufw ×1