在调查kubernetes的node上的重启linux网络服务后,pod无法联通的问题时,突然发现,没有掌握一套行之有效的调试iptables规则、追踪linux上的连接、报文的方法。
linux的iptables使用-调试方法中介绍了一种调试方法:使用limit模块打印日志
#在/etc/rsyslog.conf添加
kern.=debug /var/log/firewall
可能需要手动创建文件/var/log/firewall
重启rsyslog:
touch /var/log/firewall
systemctl restart rsyslog
之后可以添加如下的iptables规则,当报文满足规则条件时,就会在/var/log/firewall中打印出日志。
iptables -t raw -A OUTPUT -m limit --limit 5000/minute -j LOG --log-level 7 --log-prefix "raw out: "
和其它iptables一样,也可以添加IP、端口等条件:
iptables -t raw -A PREROUTING -p icmp -s 8.8.8.8/32 -m limit --limit 500/minute -j LOG --log-level 7 --log-prefix "mangle prerouting: "
打印出来的日志如下:
Jun 13 19:58:21 dev-slave-110 kernel: raw prerouting: IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=13629 SEQ=15
TRACE只能在raw表中使用
netfilter/iptables/conntrack debugging中给出了另一个方法,通过-j TRACE
-A PREROUTING -p icmp -s 8.8.8.8/32 -j TRACE
在iptables-extensions中可以找到对TRACE的介绍:
This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules.
还需要加载内核模块:
modprobe ipt_LOG
之后可以通过dmesg,或者在/var/log/message中查看到匹配的报文的日志:
Jun 16 17:44:05 dev-slave-110 kernel: TRACE: raw:PREROUTING:rule:2 IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=4064 SEQ=24
Jun 16 17:44:05 dev-slave-110 kernel: TRACE: raw:cali-PREROUTING:rule:1 IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=4064 SEQ=24
Jun 16 17:44:05 dev-slave-110 kernel: TRACE: raw:cali-PREROUTING:rule:3 IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=4064 SEQ=24
Jun 16 17:44:05 dev-slave-110 kernel: TRACE: raw:cali-from-host-endpoint:return:1 IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=4064 SEQ=24
Jun 16 17:44:05 dev-slave-110 kernel: TRACE: raw:cali-PREROUTING:return:5 IN=eth0 OUT= MAC=52:54:15:5d:39:58:02:54:d4:90:3a:57:08:00 SRC=8.8.8.8 DST=10.39.0.110 LEN=84 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=ICMP TYPE=0 CODE=0 ID=4064 SEQ=24
安装:
yum install -y conntrack-tools
使用:
$ conntrack -h
Command line interface for the connection tracking system. Version 1.4.4
Usage: conntrack [commands] [options]
Commands:
-L [table] [options] List conntrack or expectation table
-G [table] parameters Get conntrack or expectation
-D [table] parameters Delete conntrack or expectation
-I [table] parameters Create a conntrack or expectation
-U [table] parameters Update a conntrack
-E [table] [options] Show events
-F [table] Flush table
-C [table] Show counter
-S Show statis
连接跟踪表的参数可以在kernel文档Documentation/networking/nf_conntrack-sysctl.txt中找到。
本文原创首发于网站:www.lijiaocn.com
Linux的cgroup功能(三):cgroup controller汇总和控制器的参数(文件接口)
【2019】英语四六级考试成绩查询与42.9G英语学习通关资源
【2019】英语四六级考试成绩查询与新东方【考试通关】全套视频,42.9G
Lxcfs根据cpu-share、cpu-quota等cgroup信息生成容器内的/proc文件(下)
iptables snat规则缺失导致kubernetes集群node上的容器无法ping通外网
2019春节档热门电影可用BT种子、百度云盘与磁力链magnet地址收藏
短视频制作工具软件收集:快影、Premiere、会声会影、Final Cut Pro等
Lxcfs根据cpu-share、cpu-quota等cgroup信息生成容器内的/proc文件(上)
Copyright @2011-2019 All rights reserved. 转载请添加原文连接,合作请加微信lijiaocn或者发送邮件: lijiaocn@foxmail.com,备注网站合作 友情链接: lijiaocn github.com
