Назад | Перейти на главную страницу

Понимание пакетов, отброшенных iptables от puppetmaster

Я вижу, что пакеты сбрасываются во время работы моего марионеточного клиента на полурегулярной основе. И я не понимаю, чем это вызвано. Я должен упомянуть, что Puppet управляет правилами брандмауэра через модуль puppetlabs / firewall. Но правила, похоже, не меняются. Согласно этому утверждению, отладка марионетки не показывает, что правила удаляются, а затем добавляются, подсчет пакетов продолжается до запуска марионеточного агента, а просмотр правил во время запуска марионеточного агента не показывает никаких изменений правил во время выполнения.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            /* 000 accept all icmp */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* 001 accept all to lo interface */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* 002 accept related established rules */ state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport ports 22 /* 100 allow ssh access */
ACCEPT     tcp  --  172.xx.xx.xx         0.0.0.0/0            multiport ports 5666 /* 101 allow nrpe access from 172.xx.xx.xx */
ACCEPT     tcp  --  69.xx.xx.xx          0.0.0.0/0            multiport ports 5666 /* 101 allow nrpe access from 69.xx.xx.xx */
ACCEPT     tcp  --  192.168.116.0/24     192.168.116.0/24     multiport ports 3306 /* 300 allow MySQL BackNet */
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            /* 301 log all other BackNet requests */ LOG flags 0 level 6 prefix "[IPTABLES INPUT] dropped "
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            /* 302 drop all other BackNet requests */
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            /* 998 log all other requests */ LOG flags 0 level 6 prefix "[IPTABLES INPUT] dropped "
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            /* 999 drop all other requests */

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* 002 accept related established rules OUT */ state RELATED,ESTABLISHED
ACCEPT     tcp  --  172.31.100.0/23      172.31.100.0/23      multiport ports 389,636 /* 351 allow LDAPNet OUT */
ACCEPT     tcp  --  192.168.116.0/24     192.168.116.0/24     multiport ports 3306 /* 351 allow MySQL BackNet OUT */
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            /* 352 drop all other BackNet requests OUT */ LOG flags 0 level 6 prefix "[IPTABLES OUTPUT] dropped "
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            /* 352 drop all other LDAPNet requests OUT */ LOG flags 0 level 6 prefix "[IPTABLES OUTPUT] dropped "
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            /* 353 drop all other BackNet requests OUT */
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            /* 353 drop all other LDAPNet requests OUT */

И я вижу, что на марионеточном клиенте отброшены пакеты от марионеточного мастера. зарегистрирован как:

Aug 13 14:22:19 int-vs-repo kernel: [91935.669812] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48739 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670108] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48740 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670134] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48741 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0
Aug 13 14:22:19 int-vs-repo kernel: [91935.670409] [IPTABLES INPUT] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=Local_IP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=48742 DF PROTO=TCP SPT=8140 DPT=40069 WINDOW=749 RES=0x00 ACK URGP=0

Я не слишком обеспокоен этими конкретными пакетами, но планирую переместить больше машин, чтобы иметь централизованно управляемые правила iptables, и меня беспокоит, что это индикатор проблемы, которую нельзя игнорировать. Похоже, что все отброшенные таким образом пакеты являются ACK и их идентификаторы увеличиваются на единицу, т.е. мне кажется, что соединение теряется посередине, и что правило ESTABLISHED, RELATED должно разрешать эти пакеты.

Aug 14 21:52:19 int-vs-repo kernel: [205448.464080] [IPTABLES INPUT 998] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=PuppetClientIP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=40139 DF PROTO=TCP SPT=8140 DPT=52532 WINDOW=726 RES=0x00 ACK URGP=0
Aug 14 21:52:19 int-vs-repo kernel: [205448.464110] [IPTABLES INPUT 998] dropped IN=eth0 OUT= MAC=00:50:56:bc:0c:4c:00:e0:b6:00:44:f6:08:00 SRC=PuppetMasterIP DST=PuppetAgentIP LEN=64 TOS=0x00 PREC=0x00 TTL=63 ID=40140 DF PROTO=TCP SPT=8140 DPT=52532 WINDOW=726 RES=0x00 ACK URGP=0