Я вижу, что пакеты сбрасываются во время работы моего марионеточного клиента на полурегулярной основе. И я не понимаю, чем это вызвано. Я должен упомянуть, что Puppet управляет правилами брандмауэра через модуль puppetlabs / firewall. Но правила, похоже, не меняются. Согласно этому утверждению, отладка марионетки не показывает, что правила удаляются, а затем добавляются, подсчет пакетов продолжается до запуска марионеточного агента, а просмотр правил во время запуска марионеточного агента не показывает никаких изменений правил во время выполнения.
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 /* 000 accept all icmp */
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 001 accept all to lo interface */
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 002 accept related established rules */ state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport ports 22 /* 100 allow ssh access */
ACCEPT tcp -- 172.xx.xx.xx 0.0.0.0/0 multiport ports 5666 /* 101 allow nrpe access from 172.xx.xx.xx */
ACCEPT tcp -- 69.xx.xx.xx 0.0.0.0/0 multiport ports 5666 /* 101 allow nrpe access from 69.xx.xx.xx */
ACCEPT tcp -- 192.168.116.0/24 192.168.116.0/24 multiport ports 3306 /* 300 allow MySQL BackNet */
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* 301 log all other BackNet requests */ LOG flags 0 level 6 prefix "[IPTABLES INPUT] dropped "
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 /* 302 drop all other BackNet requests */
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* 998 log all other requests */ LOG flags 0 level 6 prefix "[IPTABLES INPUT] dropped "
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 /* 999 drop all other requests */
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 /* 002 accept related established rules OUT */ state RELATED,ESTABLISHED
ACCEPT tcp -- 172.31.100.0/23 172.31.100.0/23 multiport ports 389,636 /* 351 allow LDAPNet OUT */
ACCEPT tcp -- 192.168.116.0/24 192.168.116.0/24 multiport ports 3306 /* 351 allow MySQL BackNet OUT */
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* 352 drop all other BackNet requests OUT */ LOG flags 0 level 6 prefix "[IPTABLES OUTPUT] dropped "
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 /* 352 drop all other LDAPNet requests OUT */ LOG flags 0 level 6 prefix "[IPTABLES OUTPUT] dropped "
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 /* 353 drop all other BackNet requests OUT */
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 /* 353 drop all other LDAPNet requests OUT */
И я вижу, что на марионеточном клиенте отброшены пакеты от марионеточного мастера. зарегистрирован как:
Aug 13 14:22:19 int-vs-repo kernel: [91935.669812] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48739 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670108] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48740 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670134] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48741 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670409] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48742 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Я не слишком обеспокоен этими конкретными пакетами, но планирую переместить больше машин, чтобы иметь централизованно управляемые правила iptables, и меня беспокоит, что это индикатор проблемы, которую нельзя игнорировать. Похоже, что все отброшенные таким образом пакеты являются ACK и их идентификаторы увеличиваются на единицу, т.е. мне кажется, что соединение теряется посередине, и что правило ESTABLISHED, RELATED должно разрешать эти пакеты.
Aug 14 21:52:19 int-vs-repo kernel: [205448.464080] [IPTABLES INPUT 998] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=PuppetClientIP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=40139 DF PROTO=TCP SPT=8140 DPT=52532 WINDOW=726 RES=0x00 ACK URGP=0
Aug 14 21:52:19 int-vs-repo kernel: [205448.464110] [IPTABLES INPUT 998] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=PuppetAgentIP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=40140 DF PROTO=TCP SPT=8140 DPT=52532 WINDOW=726 RES=0x00 ACK URGP=0