Pacotes marcados como INVALID na regra FORWARD

Navegue suas respostas
3

Eu tenho um firewall que possui três aliases de IP em uma interface física. Os pacotes são descartados entre essas três interfaces (ICMP, HTTP ou qualquer outra coisa). Nós rastreamos isso até esses pacotes serem marcados como INVALID na regra FORWARD e descartados devido à regra: 

chain FORWARD {
    policy DROP;

    # connection tracking
    mod state state INVALID LOG log-prefix 'INVALID FORWARD DROP: '; 
    mod state state INVALID DROP;
    mod state state (ESTABLISHED RELATED) ACCEPT;
}

(Ou seja, vemos o INVALID FORWARD DROP logs em dmesg )

O que poderia estar causando isso?

    
por ℝaphink 19.10.2012 / 12:25

2 respostas

0

Use o macvlan no modo bridge em vez de aliases IP e mantenha a interface física no modo promisc.

por exemplo,

  1. eno1 é a interface que você deseja usar.
  2. Em seguida, crie macvlan1 @ eno1, macvlan2 @ eno1 e macvlan3 @ eno1.
  3. Mantenha eno1 no modo promisc.

Consulte a sequência abaixo para criar uma interface macvlan. 

# /sbin/ip link add link eno1 macvlan1 type macvlan mode bridge

# /sbin/ip addr add 192.168.1.1/24 dev macvlan1

# /sbin/ip link set macvlan1 address aa:bb:bb:dd:ee:ff up

Consulte o comando abaixo para ativar o modo promisc para eno2 

# /sbin/ip link set eno1 promisc on
    
por 13.07.2017 / 12:35
0

O estado INVALID significa que o pacote não está associado a uma conexão conhecida (e também não está iniciando uma nova conexão). As únicas razões em que posso pensar é que algo está limpando a tabela de controle de conexão, a tabela está sobrecarregada ou as entradas estão expirando muito rapidamente. Você pode verificar o tamanho da tabela de rastreamento de conexão com sudo conntrack -L | wc -l e o número máximo de entradas com cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max .

    
por 25.10.2012 / 03:08

Tags

windows clients não podem obter a resolução de dns até que você abra e feche a página de propriedades do ipv4 2xAMD Opteron 6128 com libvirt, CPU física 13 não existe