Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)

linux-dash

A beautiful web dashboard for Linux

项目地址：https://gitcode.com/gh_mirrors/li/linux-dash

免费下载资源

samuel-preamble

6784人浏览 · 2017-05-15 09:04:53

samuel-preamble · 2017-05-15 09:04:53 发布

Iptables模块reload问题(解决iptables服务重启导致TCP长连接断开)

在最近的Linux内核里，默认情况下，Iptables重启动的时候，iptables模块会被卸载(unload)，然后加载重启。

这种配置下 iptables如果重启，对于那些tcp发起端window scale option有效的的连接会产生以下影响：

1，重启后 window size会不能被正确识别；

2，已经建立的tcp会话状态会从ESTABLISHED →　INVALID 导致会话中断；

以上问题对于有重传机制的应用或许问题不大，但是如果一个应用不支持重传，当底层tcp会话中断后就会发生异常问题。

如果应用环境中，这种类型会话偏多，而且iptabls的配置又因为安全问题要经常变动，就有必要探讨是否配置强制iptable模块在重启时不被unlod。

以下描述整个配置的修改过程：

1 确认配置情况

    ① window scale option 的配置确认
    
     # cat /proc/sys/net/ipv4/tcp_window_scaling
    
     1
    
     ↑ window scale option有效
    
     0：无效

    ② iptables的配置
    
     # grep UNLOAD /etc/sysconfig/iptables-config
    
     IPTABLES_MODULES_UNLOAD="yes"
    
     ↑ iptables模块在重启是会被unload
    
     "no" ：不会被unload

2 修改配置

    ① 系统环境
    
     $ uname -a
    
     Linux test01 2.6.18-164.el5 #1 SMP Thu Sep 3 03:28:30 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
    
     ② 配置修改成重启iptables
    
     # /etc/init.d/iptables restart
    
     Flushing firewall rules: [ OK ]
    
     Setting chains to policy ACCEPT: nat filter [ OK ]
    
     Unloading iptables modules: [ OK ] ←　被卸载了
    
     Applying iptables firewall rules: [ OK ]
    
     Loading additional iptables modules: ip_conntrack_netbios_n[ OK ] ←　重新加载
    
     ③　修改配置
    
     # vi /etc/sysconfig/iptables-config
    
     IPTABLES_MODULES_UNLOAD="no"
    
     ④　配置后重启iptables的结果如下：
    
     # /etc/init.d/iptables restart
    
     Flushing firewall rules: [ OK ]
    
     Setting chains to policy ACCEPT: nat filter [ OK ]
    
     Applying iptables firewall rules: [ OK ]
    
     Loading additional iptables modules: ip_conntrack_netbios_n[ OK ] ←　模块加载

GitHub 加速计划 / li / linux-dash

下载

A beautiful web dashboard for Linux

最近提交(Master分支：1 个月前 )

186a802e added ecosystem file for PM2 5 年前

5def40a3 Add host customization support for the NodeJS version 5 年前

GitCode 开源社区

旨在为数千万中国开发者提供一个无缝且高效的云端环境，以支持学习、使用和贡献开源项目。

更多推荐

仓颉共学创作营正式启动！邀您共探新兴技术，解锁仓颉创作红利

GitCode 开源社区

SCI论文快速写作指南：沁言学术实用方法

在SCI论文写作领域，尤其针对CSDN社区内的计算机科学、AI和算法优化研究者，高效方法的应用已成为提升投稿成功率的关键。AI工具的整合能显著优化从检索到润色的流程。本文基于公开调研数据和用户案例，剖析SCI写作难点，并以沁言学术为例，探讨实用方法与技术机制。重点在于算法深度与效率insights，旨在为CSDN用户提供可操作的指导，帮助科研人员加速SCI论文产出。

GitCode 开源社区

高校科研团队文献协作工具推荐

在高校科研团队中，尤其针对CSDN社区内的计算机科学、AI和大数据领域，文献协作是推动项目进展的核心。传统方法往往因信息孤岛和版本冲突而低效，AI工具的引入能优化这一流程。本文基于公开调研数据和用户案例，剖析协作痛点，并以沁言学术为例，探讨其功能机制与应用策略。重点在于技术深度与团队insights，旨在为CSDN用户提供可借鉴的路径，帮助科研团队提升文献协作效率。