[OpenVZ][глюки?][iptables?][яхз] Недоступность OpenVZ-хоста при определенных действиях

0

1

Очередная неразрешимая загадка от меня :)

Есть все тот же многострадальный сервер с Debian'ом, OpenVZ с ~десятком машин. Машины разделены на 3 группы - сервисы локальной сети (сквид, ДНС, видеонаблюдение, etc), публичные сервисы (хостинг, джаббер), изолированные сервисы.

Каждая группа вынесена в отдельную сеть, машины используют Virtual Ethernet Device и подключены к своему бриджу; к нулевому бриджу помимо прочего подключен и физический интерфейс - eth0 - который соединен с моей локальной сетью. Еще есть отдельный VLAN, который через тот же интерфейс выводится на порт управляемого свича и далее на точку доступа (это не важно, но чуть ниже будет ясно, зачем расписал).

Соответственно, все это дело обслуживается iptables, который пробрасывает порты снаружи на веб-сервер, SNAT'ит пакеты из локальной сети, изолирует сети друг от друга и так далее. Все работает как надо. Но.

Все машины в контейнерах (да и CT0 тоже) имеют доступ к репозиторию для обновления, раздаваемому через тот же веб-сервер на хостинге. Вчера заметил странную вещь - в момент обновления пропадает доступ из локальной сети к веб-серверу. Собственно, суть даже не в обновлении - достаточно просто обратиться (с любого контейнера (кроме самого веб-сервера, для которого этот трафик будет локальным и не пройдет через сетевой интерфейс) или CT0) на порт веб-сервера (nc -w1 -z host 80), как из локальной сети (пробовал с разных хостов) порт становится filtered. При этом:

- с контейнеров любой сети, в т.ч. и тех, что относятся к локальным сервисам, а также с CT0 веб-сервер все равно остается доступен
- снаружи веб-сервер доступен
- с ноута, подключенного по WiFi (тот самый отдельный VLAN, упомянутый выше) веб-сервер доступен
- запрещающих правил в iptables CT0 нет
- отслеживание tcpdump'ом показало, что syn-запросы проходят на веб-сервер, но отклика нет
- счетчик трафика на интерфейсе контейнера показывает, что RX меняется, а TX остается без изменений.
- iptables контейнера запрещающих правил не содержит.
- порт в состоянии filtered находится всегда ровно минуту - http://rghost.ru/16198211

Доктор, что это?

Ссылка

←	Как правильно готовить hostapd?

проблемы с ntpd

→

может тупо веб серверу не хватает ресурсов? :)

я бы посомтрел на правила iptables, потому что пока - одна мистика.

tazhate ★★★★★
(08.08.11 16:18:14 MSK)

Ответ на: комментарий от tazhate 08.08.11 16:18:14 MSK

>> может тупо веб серверу не хватает ресурсов? :)

веб-сервер все равно остается доступен

я бы посомтрел на правила iptables

Но до интерфейса-то трафик приходит

мистика

Да :)

YAR ★★★★★
(08.08.11 16:54:11 MSK) автор топика

Ответ на: комментарий от YAR 08.08.11 16:54:11 MSK

Да :)

а на ноде самой соединений самих сколько? может совпадает что перерасход на них идет :) в логах ноды/впски с веб сервером что пишется? дмесги/сислоги и тп?

tazhate ★★★★★
(08.08.11 17:05:57 MSK)

Ответ на: комментарий от tazhate 08.08.11 17:05:57 MSK

> а на ноде самой соединений самих сколько?

Которая с Апачем? Нисколько. Вот только что проверил в момент, когда никаких обращений не было - 4 процесса слушают свои порты, еще 4 соединения ждут завершения. Сделал запрос на сервер как в описании - в локальной сети сервер стал недоступен.

Логи проверял, тишина

YAR ★★★★★
(08.08.11 17:11:41 MSK) автор топика

Ответ на: комментарий от YAR 08.08.11 17:11:41 MSK

Которая с Апачем? Нисколько.

которая tcp/ip system wide на главной машинке. может у тебя стек забит под завязку. хотя - врядли.

tazhate ★★★★★
(08.08.11 17:26:02 MSK)

Ответ на: комментарий от tazhate 08.08.11 17:26:02 MSK

Да нет, там тоже тихо. Соединений вообще мало:

wc -l /proc/net/ip_conntrack
4327 /proc/net/ip_conntrack

Бывало на порядки больше

YAR ★★★★★
(08.08.11 17:29:38 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как правильно готовить hostapd?

Admin

проблемы с ntpd

→

Похожие темы