У нас есть несколько серверов, которые случайным образом теряют возможность общаться с другими узлами в локальной сети и в Интернете. Однако веб-сайты обслуживаются нормально, и у нас все еще есть доступ по ssh.
Похоже, что перезагрузка решает проблему на несколько дней. На серверах установлена версия 10.5.X, и на них установлены последние обновления программного обеспечения.
В настоящее время у нас есть проблема, описанная на одной коробке. Например, попытка сделать curl google.com тайм-аут, SMTP-выход не происходит, но я могу подключиться по SSH, и Apache обслуживает веб-страницы без проблем.
Если я отключу брандмауэр с помощью sudo ipfw disable firewall, исходящий трафик возобновляется. Если я снова включу брандмауэр с sudo ipfw enable firewall, проблема появляется снова.
Правила межсетевого экрана:
$ sudo ipfw show
00001 1123672 159015812 allow udp from any 626 to any dst-port 626
01000 70125526 26073450472 allow ip from any to any via lo0
01010 0 0 deny ip from any to 127.0.0.0/8
01020 0 0 deny ip from 224.0.0.0/4 to any in
01030 0 0 deny tcp from any to 224.0.0.0/4 in
12301 904047 139023698 allow tcp from any to any out
12302 63538 11694670 allow tcp from any to any dst-port 22
12302 0 0 allow udp from any to any dst-port 22
12303 304700 44969494 allow udp from any to any out keep-state
12304 0 0 allow tcp from any to any dst-port 53 out keep-state
12304 0 0 allow udp from any to any dst-port 53 out keep-state
12304 0 0 allow tcp from any to any dst-port 53 out keep-state
12306 171 10944 allow tcp from any to any dst-port 311
12307 2167 143175 allow udp from any to any dst-port 626
12308 1604 98058 allow icmp from any to any icmptypes 8
12309 1604 98058 allow icmp from any to any icmptypes 0
12311 228466 17139842 allow tcp from any to any dst-port 80
12312 3349 616527 allow tcp from any to any dst-port 443
12313 386 18279 allow tcp from any to any dst-port 3283,5900
12313 4 130 allow udp from any to any dst-port 3283,5900
65534 885514 49998498 deny ip from any to any
65535 0 0 allow ip from any to any
Есть ли у кого-нибудь мнения? Мы думаем, что это, вероятно, маршрутизатор интернет-провайдера, но предполагаем.
Похоже на проблемы с маршрутизацией во внутренней сети. Более глубокое понимание вашей топологии очень поможет.
Я делаю прыжок здесь, но это почти звучит так, как будто система может потерять внутреннее соединение, и таблица маршрутизации становится непонятной.
Сделать netstat -r пока вы знаете, что система работает должным образом, а затем, когда она выходит из строя. Нас интересует маршрут «по умолчанию» (пример ниже).
netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGSc 53 0 en1
Если маршрут выглядит так же, это может быть восходящий (как в вашей локальной сети, а не в Интернете) маршрутизатор / коммутатор, отправляющий пакеты в неправильное место.
Если бы это был маршрутизатор ISP, почему бы это повлияло на вашу способность общаться с узлами в локальной сети? В противном случае я бы запустил wirehark и проверил журналы.
Информация о топологии была бы полезна, но для меня это звучит как проблема с MAC-адресом коммутатора или исчерпанием таблицы ARP. Или исчерпание таблицы NAT, если применимо. Сброс ссылки очистит ее часть. Вместо перезагрузки отсоедините кабель Ethernet на 2 минуты, затем снова подключите и посмотрите, восстановит ли это его на некоторое время, как при перезагрузке.