Syn 패킷은 가끔 Linux에서 떨어졌습니다

Question

우리는 iptables가 활성화 된 2.6.16 커널로 데비안을 실행하고 있습니다. 이 시스템은 맞춤형 HTTP 프록시를 실행하고 있으며, 이는 온화한 하중이 적용됩니다 (다른 사이트에서 동일한 부하로 잘 작동 함). 이 시스템은 가상 IP가있는로드 밸런서가 앞에있는 4 개의 서버로 구성되며, 이는 4 개의 ISA 2004 머신 배열에 앞서 기본 토폴로지가 다음과 같습니다.

클라이언트 -> ISA [1-4] ->로드 밸런서 -> 프록시 [1-4] -> 인터넷

때때로, ISA는 우리에게 Syn-ack을 보내지 않는 Syn 패킷을 보내드립니다. 3 초 후에, 6 초 후에 세 번째로 다시 시도한 후 프록시가 다운로되어 직접 연결로 전환됩니다. 이 기간 동안, 그 3 개의 동기 전, 그 사이에 및 그 이후에, 같은 ISA의 다른 동기가 와서 성공적으로 답변됩니다.

다른 사람들이 매우 유사한 문제를보고하고 있습니다 (그러나 해결책은 없음).

모두 Centos라는 Linux의 맛에서 나옵니다. 기본적으로 iptables를 활성화하는 것은 특이성입니다.

http://www.linuxhelpforum.com/showthread.php?t=931912&mode=linear http://www.centos.org/modules/newbb/viewtopic.php?topic_id=16147

거의 동일하지만 조금 다릅니다.http://www.linuxquestions.org/questions/linux-networking-3/tcp handshake-fails-synack-ignord-by-system.-637171/

또한 관련이있는 것 같습니다.http://groups.google.com/group/comp.os.linux.networking/browse_thread/thread/b1c000e2d65e0034

나는 iptables가 범인이라고 생각하지만 추가 피드백을 환영합니다.

Answer 1

게시 한 첫 번째 링크에 언급 된대로 듣기 통화에 대한 두 번째 매개 변수를보십시오. 최대 보류 중 (아직 허용되지 않은) 연결 수입니다. Listen (2) Man Page에 따르면, 프로토콜이 Retransmission (TCP)을 지원하는 경우 큐가 가득 차면 연결 요청이 삭제됩니다 (큐에 다시 공간이 있으면 연결을 생성 할 예정입니다. ).

Answer 2

실제로, iptables는 무효 패킷을 떨어 뜨린 규칙과 함께 culrpit으로 판명되었습니다. 우리는 여전히 IPTABLES가 유효하지 않다고 생각하기 위해 무엇을 만들었는지 확실하지 않습니다 (방울 전에 30 분 전에 동일한 소스 포트를 가진 트래픽이 없었기 때문에 시간이 확실하지 않음).