我有一台 KVM 主机,它将其 eth0 桥接为 br0。我有一个客户机,它使用桥接适配器(而不是 NAT)及其自己的公共 IP。
如果我在主机上设置了基本的防火墙规则,它就会突然开始花很长时间才能通过其 IP 连接到 ssh(或其他服务,如 http)客户机 - 无论是本地(从主机)还是从另一台主机。长时间我的意思是可能 20 秒而不是 1 秒。此外,它的出站连接也需要很长时间才能打开(从客户机连接到另一台主机)。
我只是出于简单起见启用了所有转发;如果没有该语句,则不会有任何流量到达或来自客户机。如果我清除所有这些规则,则连接将恢复正常。
问题:1. 发生了什么?2. 如何进一步排除故障 - 有没有办法记录所有拒绝?
这些是我的规则声明:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Forward all traffic through the bridge interface
-A FORWARD -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
#allow check_nrpe & check_mk
-A INPUT -p tcp --dport 5666 -j ACCEPT
-A INPUT -p tcp --dport 6556 -j ACCEPT
-A INPUT -p tcp --dport 2220 -j ACCEPT
# Allow SSH connections
#
# The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Reject all other inbound - default deny unless explicitly allowed policy
-A INPUT -j REJECT
COMMIT
答案1
您是否设置了服务以尝试反转 DNS 传入连接(这通常是 ssh 的默认设置),然后继续通过防火墙规则阻止 DNS 查询?