无
Cloudos3.0版本配套CAS 版本E0521。
1.虚拟机网卡配置公网IP,防火墙做NAT server,虚拟网卡绑定安全组规则(cas以状态防火墙模式实现),不允许61.181.148.218 ping 虚拟机;
2.61.181.148.218 ping 虚拟机,不通,保持ping;
3.安全组新增一条规则,运行61.181.148.218 ping (cloudos 配置页面规则为: 允许 入虚拟机,远端IP为61.181.148.218 的ICMP报文);
4.规则添加成功,但流量不通;
5.停止上次ping, 马上发起一次新的ping,依然不通;
6.停止ping,等待一段时间(后面分析看,这个环境只要等待30S+即可), 再发起ping 流通就通了;
1.规则添加成功,但流量不通 ===》依然保持上次ping,报文identifier字段不变, Cvk上conntrack状态表项未老化,报文命中老conntrack,会被ovs流表drop,且conntrack 的ct_mask置为1(cvk上状态防火墙设计如此,不是问题);
2.停止上次ping, 马上发起一次新的ping,依然不通 ==》 cvk上抓包,30s之内发起的新ping 请求,报文identifier字段一直保持不变,同时CVK上conntrack上表项未老化,报文依然命中老conntrack,现象同上,流量不通;
3.等待一段时间再ping就通了 ==》 超过conntrack表项老化时间(icmp默认30s),ping报文在cvk上生成新的conntrack 表项,匹配安全组规则,流量通;
图:连续发起三次ping请求,cvk收到报文id 不变,都为6870
规则为drop,发起流量1,又新增一条accept 规则时, 已发起的流量是不通的(见分析1 ,cas实现如此)
若马上新发起的流量2和流量1 特征不同(icmp报文的identifier、tcp/udp报文的src port 字段不同),流量2可直接通
若流量2和流量1 特性相同,流量不通。
(1)等cvk 上 conntrack 流表老化(/proc/sys/net/netfilter/ 下文件检查每种协议报文conntrack老化时间);
(2)手动删除老conntrack (命令为 conntrack D –s 61.181.148.218);
该案例对您是否有帮助:
您的评价:1
若您有关于案例的建议,请反馈:
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作