我在为 iptables 配置的和链上有一个默认DROP策略,并且我正在尝试为通过 drbd 镜像数据的两个服务器配置适当的 iptables 规则。INPUTOUTPUT
资源配置:
resource data {
on data001 {
device /dev/drbd0;
disk /dev/mapper/vg--system-data;
meta-disk internal;
address 10.0.0.10:7788;
}
on data002 {
device /dev/drbd0;
disk /dev/mapper/vg--system-data;
meta-disk internal;
address 10.0.0.11:7788;
}
}
对于 iptables,两个 drbd 节点上都设置了以下规则:
-A INPUT -p tcp -s 10.0.0.10 --sport 7788 -j ACCEPT
-A OUTPUT -p tcp -d 10.0.0.10 --dport 7788 -j ACCEPT
-A INPUT -p tcp -s 10.0.0.11 --sport 7788 -j ACCEPT
-A OUTPUT -p tcp -d 10.0.0.11 --dport 7788 -j ACCEPT
但是,drbd 无法正确建立主机之间的连接。将两个主机上的默认策略更新为ACCEPT按预期工作。
答案1
您应该允许和 的ESTABLISHED连接。此外,为了设置连接,您需要允许目标端口为 7788 的数据包(包括传出和传入)。INPUTOUTPUT
编辑
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p tcp -s 10.0.0.10 --dport 7788 -j ACCEPT
-A INPUT -p tcp -s 10.0.0.11 --dport 7788 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -d 10.0.0.10 --dport 7788 -j ACCEPT
-A OUTPUT -p tcp -d 10.0.0.11 --dport 7788 -j ACCEPT