H3Cloud OS安全组规则配置后ping不通

无

Cloudos3.0版本配套CAS 版本E0521。

1.虚拟机网卡配置公网IP，防火墙做NAT server，虚拟网卡绑定安全组规则（cas以状态防火墙模式实现），不允许61.181.148.218 ping 虚拟机；

2.61.181.148.218   ping  虚拟机，不通，保持ping；

3.安全组新增一条规则，运行61.181.148.218 ping （cloudos 配置页面规则为： 允许  入虚拟机，远端IP为61.181.148.218 的ICMP报文）；

4.规则添加成功，但流量不通；

5.停止上次ping， 马上发起一次新的ping，依然不通；

6.停止ping，等待一段时间（后面分析看，这个环境只要等待30S+即可）， 再发起ping 流通就通了；

1.规则添加成功，但流量不通 ===》依然保持上次ping，报文identifier字段不变， Cvk上conntrack状态表项未老化，报文命中老conntrack，会被ovs流表drop，且conntrack 的ct_mask置为1（cvk上状态防火墙设计如此，不是问题）；

2.停止上次ping， 马上发起一次新的ping，依然不通   ==》 cvk上抓包，30s之内发起的新ping 请求，报文identifier字段一直保持不变，同时CVK上conntrack上表项未老化，报文依然命中老conntrack，现象同上，流量不通；

3.等待一段时间再ping就通了   ==》 超过conntrack表项老化时间（icmp默认30s），ping报文在cvk上生成新的conntrack 表项，匹配安全组规则，流量通；

图：连续发起三次ping请求，cvk收到报文id 不变，都为6870

规则为drop，发起流量1，又新增一条accept 规则时， 已发起的流量是不通的（见分析1 ，cas实现如此）

若马上新发起的流量2和流量1 特征不同（icmp报文的identifier、tcp/udp报文的src port 字段不同），流量2可直接通

若流量2和流量1 特性相同，流量不通。

（1）等cvk 上 conntrack 流表老化（/proc/sys/net/netfilter/   下文件检查每种协议报文conntrack老化时间）；

（2）手动删除老conntrack  （命令为 conntrack D –s 61.181.148.218）；