iptables ผมเจ้งมาพักนึงละ ใครเป็นมั่ง ใครเคยแก้มั่ง อาการนี้

[root@ns1 ~]# iptables -A INPUT -p igmp -m state --state NEW -m limit --limit 5/sec -j ACCEPT

iptables: Unknown error 4294967295

[root@ns1 ~]# iptables -A INPUT -p udp -m state --state NEW -m limit --limit 5/sec -j ACCEPT

iptables: Unknown error 4294967295

[root@ns1 ~]# iptables -A INPUT -p udp -m state --state NEW -j DROP

iptables: Unknown error 4294967295

[root@ns1 ~]# iptables -A INPUT -p igmp -m state --state NEW -m limit --limit 5/sec -j ACCEPT

iptables: Unknown error 4294967295

[root@ns1 ~]# iptables -A INPUT -p igmp -m state --state NEW -j DROP

iptables: Unknown error 4294967295

[root@ns1 ~]#

ปัญหาคือมันใส่พวก option ไม่ได้

พวก -m limit --limit 5/sec หรือ -m connlimit --connlimit-above 15

อะไรยังเงี้ย ซึ่งมันส่งผลถึงพวก firewall ต่างๆ เช่น APF ด้วย

พอดีลูกค้าผมอีกท่านนึงก็เป็น เลยไม่รู้ว่าตัวเองไปพลาดอะไร

openvz รึเป่าครับ

ป่าวครับ CentOS บ้านๆนี่ล่ะ

ผมยังนึกอยู่เนี่ยว่าไปซนอะไรเข้า

You should increase maximum possible value for --hitcount parameter (20 by default) by setting ipt_recent module option ip_pkt_list_tot.

For example:

cat /etc/modprobe.d/ipt.conf

options ipt_recent ip_pkt_list_tot=200

Then reload module ipt_recent.

จาก http://bugs.centos.org/view.php?id=3632

file นี้ผมไม่มีแฮะ. . . . .

ลบทิ้งแล้วหายไหมครับ

ถ้าอย่างนั้นต้อง clear ทิ้งแล้วค่อย add ใหม่

ลอง uninstall ทั้ง iptables ทั้ง kernel ออกลงใหม่ก็ไม่หายครับ แฮะๆ เหมือนจะงานช้าง

ไปอ่านๆดู ประมาณว่า kernel มันไม่มี mod พวกนี้ต้อง compile ใหม่

แต่ผม yum update จาก rpm ตลอดนะนี่ . . . . . เลยงงเข้าไปใหญ่

ถ้าครั้งแรกที่ลงไม่มีปัญหา แล้ว พึุงมามีปัญหาคงไม่เกี่ยวกับ kernel หรอกครับ

ถ้าคิดว่า kernel มีปัญหาก็ลง kernel ใหม่

สั่งแล้วลอง dmesg | tail -n 20 ดูฮะ

มันขึ้นอย่างนี้อ่ะ

[root@ns1 ~]# iptables -A INPUT -p udp -m state --state NEW -m limit --limit 5ec -j ACCEPT

iptables: Unknown error 4294967295

[root@ns1 ~]# dmesg | tail -n 20

ip_conntrack: Unknown parameter `ip_conntrack_disable_ve0’

ip_conntrack: Unknown parameter `ip_conntrack_disable_ve0’

ip_tables: (C) 2000-2006 Netfilter Core Team

ADDRCONF(NETDEV_UP): eth0: link is not ready

tg3 0000:03:00.0: eth0: Link is up at 1000 Mbps, full duplex

tg3 0000:03:00.0: eth0: Flow control is on for TX and on for RX

ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready

ADDRCONF(NETDEV_UP): eth1: link is not ready

eth0: no IPv6 routers present

ADDRCONF(NETDEV_UP): eth0: link is not ready

tg3 0000:03:00.0: eth0: Link is up at 1000 Mbps, full duplex

tg3 0000:03:00.0: eth0: Flow control is on for TX and on for RX

ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready

ADDRCONF(NETDEV_UP): eth1: link is not ready

eth0: no IPv6 routers present

printk: 40 messages suppressed.

TCP: Treason uncloaked! Peer 118.175.145.16:2653/80 shrinks window 1640316231:1640317691. Repaired.

TCP: Treason uncloaked! Peer 118.175.145.16:2653/80 shrinks window 1640419891:1640421351. Repaired.

TCP: Treason uncloaked! Peer 125.25.144.94:55270/80 shrinks window 843683537:843686417. Repaired.

ip_conntrack: Unknown parameter `ip_conntrack_disable_ve0’

[root@ns1 ~]#

grep ip_conntrack /etc/mod* หน่อยครับ

ทำไมมี ve0 ด้วยอ่ะครับ

ขึ้นแบบนี้ครับ

[root@ns1 ~]# grep ip_conntrack /etc/mod*

/etc/modprobe.conf:options ip_conntrack ip_conntrack_disable_ve0=1

/etc/modprobe.conf~:options ip_conntrack ip_conntrack_disable_ve0=1

[root@ns1 ~]#

ผมเคยซนเอา OpenVZ มาแปะน่ะครับ แต่หลายปีละ แฮะๆ จนลืมไปแล้วนะนี่ ( เกี่ยวป่าวหว่า )

ตอน boot kernel ไปบูท openvz หรือปาว

/etc/modprobe.conf ลบบรรทัด options ip_conntrack ip_conntrack_disable_ve0=1 ออกครับ

เป้ะเลยครับ เย้ๆ ๆ ๆ ๆ หายแล้ว

ผมลบออกเหลือแค่นี้

alias scsi_hostadapter ata_piix

alias scsi_hostadapter1 ahci

options snd-ens1371 index=0

remove snd-ens1371 { /usr/sbin/alsactl store 0 >/dev/null 2>&1 || : ; }; /sbin/$

options ip_conntrack

alias eth0 tg3

alias eth1 tg3

แล้วก็ modprobe -r ก็เรียบร้อย ย ย ย ย ย

ขอบคุณพี่ๆ น้องๆ ทุกท่านครับ ปิดคดี!!!

สรุปแล้วเกิดจากความซนส่วนตัวจริงๆด้วย หุๆ

ฮ่าๆๆๆๆ