相关博文
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
分类: linux
2008-12-11 11:51:13
湖南省怀化市鹤城区非税收入系统
两台dc5.0sp2上ha监控oracle,每台机器两块网卡。10.0.0为心跳,10.105.175是外网网段。
最近突然发现备机(2)这台机器,网络不通了。10.105.175段的所有机器都ping不通这台,从这台机器往外也无法ping出去。通过心跳10.0.0这个网卡,两台机器之间也是无法ping通的。
备机ping自己是通的,mii-tool是link ok的。而且也确定两个网口网线没有接错。备机10.105.175段网卡换了若干根网线,都是不通。将同款机器安装了window的硬盘换到此机器上,网络可用。说明网卡硬件没坏。从系统层上,将snortd停掉并设置开机不启动,用iptables -f清空iptables。仍然不通。
让起将ping的信息发过来,发现不通的提示并不是普通见到的网络不通,而是
ping: sendmsg: operation not permitted。
此提示是防火墙的问题。通过日志可以看到很多信息防火墙drop包的信息
dec 10 17:13:24 hcfs2 kernel: dropped in=eth0 out= mac=00:1a:64:c8:2a:8c:00:21:5e:26:ae:1c:08:00 src=10.0.0.1 dst=10.0.0.2 len=588 tos=0x00 prec=0x00 ttl=64 id=0 df proto=udp spt=1035 dpt=29002 len=568
清除防火墙规则
service iptables stop
iptables -f
网络立刻通了。但是机器自动重启了(因为ha,正常。)
系统起来之后,仍然网络不通,iptables -l有很多规则。分析发现系统iptables和snortd默认都不启动。
继续分析系统启动日志发现guarddog服务随内核启动
dec 2 09:31:51 hcfs2 guarddog: configuring iptables firewall now.
dec 2 09:32:05 hcfs2 kernel: cpu4: initial apic id: 4
dec 2 09:31:51 hcfs2 guarddog: finished configuring firewall
dec 2 09:31:51 hcfs2 network: bringing up loopback interface: succeeded
dec 2 09:32:05 hcfs2 kernel: intel machine check architecture supported.
dec 2 09:31:55 hcfs2 guarddog: configuring iptables firewall now.
dec 2 09:32:05 hcfs2 kernel: intel machine check reporting enabled on cpu#4.
dec 2 09:31:55 hcfs2 guarddog: finished configuring firewall
经确认,用户在图形界面下打开过guarddog,并且点击了确定。图形界面下的guarddog默认启动候,将drop所有的包。所以造成网络不通。
解决办法:
1、在图形界面guarddog界面最后一个标签里面,选种“禁用防火墙”,然后确定即可。
2、清空/etc/rc.fireware文件。重启即可
google搜索了一下,有一篇文章,里面也是同样的现象,但是他是有防火墙规则的,他已经解决了,他的解决方法是;怪异,我刚才冒着被无数人骂的危险,迅速service iptables stop断开网络,然后ping 127.0.0.1就可以,然后迅速重新运行脚本恢复网络运行,然后ping 127.0.0.1,还是报告ping: sendmsg: operation not permitted
给主人留下些什么吧!~~