LVS 配置Iptables防火墙及故障解决

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
网络型负载均衡 NLB,每月750个小时 15LCU
云防火墙,500元 1000GB
简介:

负载均衡这个词,相信大家都耳熟能详了,那我们今天再来回顾一下,常见的负载均衡有硬件的例如F5、网络厂商H3CCisco都有自己的负载均衡方案,但是这些都是价格不菲,那到底有没有免费的午餐呢?答案虽然是没有,哈哈,但是我们有章文嵩博士创立的开源负载均衡LVS

言归正传,LVS+Keepalived架构搭建完毕后,如果我们都负载均衡、后端Nginx都配置的外网ip,采用LVS-DR模式的话,安全方面就得考虑了,当然安全的概率非常大:包括前端硬件防火墙的配置、机房设施管理、人员操作、服务器系统安全等。

那我们今天来讨论服务器系统的安全,常见的有关闭不必要的服务和端口,开启iptables防火墙,如果LVS对外提供80 web服务该如何配置呢?操作系统为CentOS 6.0 x86_64 iptables添加代码如下:(注*确认是否开启22端口对自己内部访问,以防重启iptables后,SA无法远程登陆)

 
  1. #允许80端口对外提供服务   
  2.  
  3. -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT   
  4.  
  5. #LVS DR模式,当用户请求LVS-DR VIP时,只有DR响应客户端的ARP广播包,允许vrrp虚拟路由器冗余协议   
  6.  
  7. -A   INPUT   -d   224.0.0.0/8   -j   ACCEPT   
  8.  
  9. -A   INPUT    -p   vrrp   -j   ACCEPT  

    如上设置完毕,重启iptables服务 /etc/init.d/iptables restart 即可。

    当我们配置好iptables,某一天网站访问量大,突然发现部分客户访问巨慢无比,甚至无法访问网站,查看后台日志狂刷如下信息:
 
  1. kernel nf_conntrack: table full, dropping packet   
  2.  
  3. #准确定位该问题是由于iptables ip_conntrack表爆满之后丢弃数据包的问题。查看系统内核: 
  4.  
  5. cat /etc/sysctl.conf |grep conntrack  
  6.  
  7. #没有查找到相关配置,于是决定在/etc/sysctl.conf增加如下两行设置ip_conntrack表值:(注*Centos6以上内核ip_conntrack参数已经改成nf_conntrack) 
  8.  
  9. net.nf_conntrack_max = 655360  
  10.  
  11. net.netfilter.nf_conntrack_tcp_timeout_established = 36000  
  12.  
  13. #然后执行sysctl -p 使其生效: 
  14.  
  15. #如果报错:error: “net.nf_conntrack_max” is an unknown key    
  16.  
  17. #则需要使用modprobe载入ip_conntrack模块   
  18.  
  19. modprobe ip_conntrack    
  20.  
  21. #查看模块是否已载入   
  22.  
  23. lsmod|grep ip_conntrack  

本文就写到这里了,当然LVS的知识还非常的深入,我也是在不断的学习和总结中,欢迎大家快乐分享!一起成长!

文章参考资料:

http://www.myfreelinux.com/?p=743&cpage=2&replytocom=223803

http://home.wonderad.com/?p=65

http://blog.sina.com.cn/s/blog_704836f40100lwy2.html



本文转自 wgkgood 51CTO博客,原文链接:http://blog.51cto.com/wgkgood/1102870

相关文章
|
1月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
195 73
|
20天前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
33 1
|
2月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
2月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
|
2月前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
|
2月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
41 1
|
3月前
|
网络协议 应用服务中间件 Linux
LVS介绍与配置
LVS介绍与配置
125 8
|
2月前
|
安全 Linux 测试技术
在Linux中,如何配置防火墙和安全规则?
在Linux中,如何配置防火墙和安全规则?
|
2月前
|
前端开发 Linux 网络安全
在Linux中,如何配置防火墙?
在Linux中,如何配置防火墙?
|
2月前
|
存储 网络协议 Ubuntu
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
33 0