LINUX.ORG.RU
решено ФорумAdmin

Пропадает сеть в CentOS

 ,


0

1

Добрый день! Периодически (раза 3 в день) падает исходящая сеть на CentOS. Именно исходящая, на сервер могу зайти и web server работает, а пинги на любые ресурсы не проходят. Что можно посмотреть? Сервер VPS, куда копать не знаю.

Перемещено Pinkbyte из linux-org-ru


а пинги на любые ресурсы не проходят

пинги по имени ресурса или по ip? Если по ip тоже не ходят - в техподдержку хостера однозначно. Если проблема только в пингах по DNS-имени - покажи содержимое /etc/resolv.conf

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

И по ip и по имени. Я бы шел к хостеру, но после перезапуска iptables все начинает работать. Причем без разницы был ли iptables запущен в момент падения или нет…

norets
() автор топика
Ответ на: комментарий от norets

dmesg не плохо бы посмотреть на предмет ругани на нехватку/переполнение чего-нибудь.

я бы посмотрел на число соединений conntrack «conntrack -C» в момент когда пинги не ходят...

vel ★★★★★
()
Ответ на: комментарий от vel

Сеть упала ночью. dmesg в конце выдает вот такое, но может не туда смотрю: [51127.392860] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead. [262290.216297] device eth0 entered promiscuous mode [262292.906396] device eth0 left promiscuous mode [262474.717980] device eth0 entered promiscuous mode [262487.157157] device eth0 left promiscuous mode

norets
() автор топика
Ответ на: комментарий от Pinkbyte

При нерабочей сети iptables: Chain INPUT (policy ACCEPT 52134 packets, 2919K bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 64949 packets, 5450K bytes) pkts bytes target prot opt in out source destination

При рабочей:

Chain INPUT (policy DROP 2 packets, 120 bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 0 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 6 436 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0 state INVALID

Chain OUTPUT (policy DROP 1 packets, 60 bytes) pkts bytes target prot opt in out source destination
4 512 ACCEPT all – * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

norets
() автор топика
Ответ на: комментарий от vel

Прошу прощения, забыл про разметку

Chain INPUT (policy ACCEPT 52134 packets, 2919K bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 64949 packets, 5450K bytes) pkts bytes target prot opt in out source destination

рабочая:

Chain INPUT (policy DROP 3664 packets, 205K bytes)
 pkts bytes target     prot opt in     out     source               destination         
25712 1811K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    3   252 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    5   316 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
 1149 99261 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    6   264 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
    5   320 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1522
    4   184 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
  189  7952 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
   82  3280 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
25712 1811K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
 1874  593K ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
norets
() автор топика
Ответ на: комментарий от vel
[51127.392860] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead. 
[262290.216297] device eth0 entered promiscuous mode [262292.906396] device eth0 left promiscuous mode 
[262474.717980] device eth0 entered promiscuous mode 
[262487.157157] device eth0 left promiscuous mode
norets
() автор топика
Ответ на: комментарий от norets

В dmesg ругани нет.

А ты tcpdump/wireshark запускал? Перевод в promiscous mode eth0 при нормальной работе не должен наблюдаться.

Я бы запустил мониторинг «conntrack -C» или «cat /proc/sys/net/netfilter/nf_conntrack_count» и посмотрел тенденцию.

conntrack несложно переполнить если net.netfilter.nf_conntrack_tcp_timeout_established = 432000 (по умолчанию). Поставить хотя бы 1800 или вообще 300.

Если исходящие соединения начинают работать после «conntrack -F», то проблема стопудово в переполнении conntrack.

vel ★★★★★
()
Ответ на: комментарий от norets

И при не рабочей, как просили выше, то же покажите выхлоп

anc ★★★★★
()

Всем спасибо за ответы, решил не заморачиваться и поставить на cron перезапуск iptables. Пока все работает, а дальше посмотрим.

norets
() автор топика
Ответ на: комментарий от norets

Ну это крайне странное «решение». Я в отличии от предположений vel предполагаю что есть «кто-то» который добавляет правила, например fail2ban

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.