LINUX.ORG.RU
ФорумAdmin

ping: sendmsg: Operation not permitted

 , ,


1

1

Коллеги, добрый день, нужен совет в какую сторону копать, есть шлюз (Centos7 3.10.0-514.6.1)

При выполнении ping на определенный адрес, который доступен через vpn (строится с помощью libreswan), получаю данные сообщения, при чем периодически адреса меняются и относятся к разным тоннелям.

В iptables заведомо все верно, не меняя правил, выполняем команду conntrack -F и адрес который был недоступен, чудесным образом начинает работать, а какой нибудь другой валится в эту ошибку.

При этом в dmesg тишина, ошибок нет, за исключением мелочей. В iptables около 300 правил Соединений тоже не так много: net.netfilter.nf_conntrack_count = 23427

net.ipv4.ip_forward = 1
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.netfilter.nf_conntrack_max=524288
net.core.netdev_max_backlog=5000
net.ipv4.tcp_fack = 0
net.ipv4.tcp_sack = 0
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.core.rmem_default = 8388608
net.core.wmem_default = 4194394
net.ipv4.tcp_mem=98304 131072  196608
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog=2048
net.netfilter.nf_conntrack_generic_timeout = 180
net.netfilter.nf_conntrack_icmp_timeout = 10
net.netfilter.nf_conntrack_tcp_be_liberal = 1
net.netfilter.nf_conntrack_tcp_timeout_established = 1200
net.netfilter.nf_conntrack_udp_timeout = 10
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.ipv4.tcp_timestamps = 0

Ну попробуйте увеличить hashsize для conntrack.

conntrack -L ничего интерестного не показывает для проблемного ip-адреса?

mky ★★★★★ ()

такая реакция обычно на "-j DROP" в цепочке OUTPUT.

Нет ли в iptables ограничений по числу соединений типа "-m connlimit", "-m limit" или "-m hashlimit" ?

vel ★★★★★ ()
Ответ на: комментарий от jasper88

Это iptables.

root@hostname:~# ping 8.8.8.8 -c1
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=1.82 ms

--- 8.8.8.8 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.823/1.823/1.823/0.000 ms
root@hostname:~# iptables -I OUTPUT -p icmp -j DROP
root@hostname:~# ping 8.8.8.8 -c1
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

--- 8.8.8.8 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

alestro ()
Ответ на: комментарий от alestro

это может быть iptables, но в данном случае это не он! выше описал почему так считаю, если Вы настолько уверены, то пожалуйста комменты по сути, что может быть...

jasper88 ()
Ответ на: комментарий от alestro

сбросить все правила не вариант, и не решение вопроса, я писал что при выполнении команды пинги на этот адрес появляются, тем более там происходит серс нат, и без этих правил работать не будет

jasper88 ()
Ответ на: комментарий от jasper88

есть еще более простой вариант - вставить первое правило разрешающее icmp iptables -I OUTPUT 1 -p icmp -j ACCEPT

vel ★★★★★ ()
Ответ на: комментарий от vel

Добавление данного правила проблему не решило

Долго не отвечал, так как проблема на время растворилась сама по себе, но вот недавно всплыла, при этом добавленная команда не помогла, помогла только остановка и запуск iptables (без изменений в правилах)

jasper88 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.