+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Пакеты TCP RST блокируются pve-firewall, Proxmox Виртуальная Среда

gslongo

Guest

24.07.2019 14:39:00

Всем привет! Мы столкнулись с очень странной проблемой или багом. Вот в чем суть: Предположим, у нас есть сервис, который работает на TCP-порту 12354. Клиенты могут с ним нормально общаться, пока он работает. Когда сервис неактивен, клиенты получают "Connection timed out" (нет ответа), хотя ОС отправляет TCP-пакеты RST:
[root@cluster-dev-1 ~]# tcpdump -ni any tcp port 12345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
14:28:11.985896 IP 172.16.38.128.41470 > 172.18.0.20.italk: Flags , seq 906491996, win 29200, options [mss 1460,sackOK,TS val 3812309330 ecr 0,nop,wscale 7], length 0
14:28:11.985919 IP 172.18.0.20.italk > 172.16.38.128.41470: Flags [R.], seq 0, ack 906491997, win 0, length 0

Однако эти RST-пакеты где-то теряются в фаерволе PVE. По настройкам виртуальной машины:
Firewall > Options > Firewall = Нет — без эффекта
Firewall > Options > * Policy = ACCEPT — без эффекта (даже если для этой VM нет активных правил)
Hardware > Network Device > firewall=0 — пропускает RST-пакеты!

Какие-нибудь идеи? Спасибо!

Вот информация о версиях:
~# pveversion -v
proxmox-ve: 5.4-2 (запущенное ядро: 4.15.18-18-pve)
pve-manager: 5.4-11 (запущенная версия: 5.4-11/6df3d8d0)
pve-kernel-4.15: 5.4-6
pve-kernel-4.15.18-18-pve: 4.15.18-44
pve-kernel-4.15.18-16-pve: 4.15.18-41
pve-kernel-4.15.18-14-pve: 4.15.18-39
pve-kernel-4.15.18-10-pve: 4.15.18-32
pve-kernel-4.15.18-9-pve: 4.15.18-30
pve-kernel-4.15.18-1-pve: 4.15.18-19
pve-kernel-4.15.17-1-pve: 4.15.17-9
corosync: 2.4.4-pve1
criu: 2.11.1-1~bpo90
glusterfs-client: 3.8.8-1
ksm-control-daemon: 1.2-2
libjs-extjs: 6.0.1-2
libpve-access-control: 5.1-12
libpve-apiclient-perl: 2.0-5
libpve-common-perl: 5.0-53
libpve-guest-common-perl: 2.0-20
libpve-http-server-perl: 2.0-14
libpve-storage-perl: 5.0-44
libqb0: 1.0.3-1~bpo9
lvm2: 2.02.168-pve6
lxc-pve: 3.1.0-3
lxcfs: 3.0.3-pve1
novnc-pve: 1.0.0-3
proxmox-widget-toolkit: 1.0-28
pve-cluster: 5.0-37
pve-container: 2.0-39
pve-docs: 5.4-2
pve-edk2-firmware: 1.20190312-1
pve-firewall: 3.0-22
pve-firmware: 2.0-6
pve-ha-manager: 2.0-9
pve-i18n: 1.1-4
pve-libspice-server1: 0.14.1-2
pve-qemu-kvm: 3.0.1-4
pve-xtermjs: 3.12.0-1
qemu-server: 5.0-54
smartmontools: 6.5+svn4324-1
spiceterm: 3.0-5
vncterm: 1.5-3
zfsutils-linux: 0.7.13-pve1~bpo2

gslongo Guest	#2 0 01.10.2019 15:20:00 Привет! Кто-нибудь знает, в чём дело? Спасибо!

wolfgang

Guest

02.10.2019 06:41:00

Привет, я бы обновил твое ядро и проверил снова. Твоё ядро довольно старое, так что на его основе сложно анализировать проблему. И еще, какую сетевую карту ты используешь и как настроена сеть (bond, bridge и так далее)?

spirit Guest	#4 0 02.10.2019 07:10:00 Если умеешь повторять ситуацию, можешь еще сделать tcpdump на мостах fwbrX и vmbrX и посмотреть, не теряется ли пакет где-то. (Мост fwbr создается, когда включаешь файрвол на виртуальной сетевой карте.)

spirit

Guest

02.10.2019 07:18:00

Также, не мог бы ты попробовать изменить значение sysctl: nf_conntrack_tcp_be_liberal? «Если оно не равно нулю, мы помечаем как INVALID только сегменты RST вне окна». (Я сталкивался с проблемой tcp_be_liberal в совершенно другом случае, когда какое-то соединение помечалось как недействительное, и все пакеты сбрасывались по основному правилу conntrack.)

iBug Guest	#6 0 04.10.2023 12:38:00 Продолжение спустя 4 года: смотрите мою новую тему #134423 и мой отчет об ошибке #4983.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры