论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-07-22 17:07 |只看该作者 |倒序浏览

iptables -I $chain -t mangle -p tcp ! --syn -m state --state NEW -j DROP

上面iptables规则是不是限定了所有的新建的tcp连接只要不是syn的都将丢弃？
我为虚拟机写下了上面的规则，当虚拟机迁移到其他的主机上时，之前的连接应该会断掉的。为什么迁移过后连接还是重新建立起来了？上面的规则不对么？
PS：目的主机上也有同样的规则

求解

文库|博客

platinum

广告杀手

论坛徽章:: 0

2楼 [报告]

发表于 2010-07-22 17:11 |只看该作者

因为后面有一个限定，-m state --state NEW
这个意思是首次进入 conntrack 框架的数据
作为 TCP 协议而言，首次进入 conntrack 的数据必须是 syn 包
因此，如果首次进入的数据包不是 syn，则一定是非法的，应该 DROP

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yayasusu

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2010-07-22 17:16 |只看该作者

因为后面有一个限定，-m state --state NEW
这个意思是首次进入 conntrack 框架的数据
作为 TCP 协议而言 ...
platinum 发表于 2010-07-22 17:11

那上面的规则是对的罗？我的需求是这样的：
虚拟机提供的FTP服务，当虚拟机迁移到其他主机上时。原本连接的用户是要断开的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

4楼 [报告]

发表于 2010-07-22 17:19 |只看该作者

怎么个迁移法？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yayasusu

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2010-07-22 17:21 |只看该作者

回复 4# platinum

利用Xen的live migration.因为xen本身提供透明迁移，所以我想加入iptables规则，让迁移后，之前的连接断开。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

6楼 [报告]

发表于 2010-07-22 17:24 |只看该作者

没用过 xen，不知道它的工作原理是什么，不好回答
但传统意义上来讲
1、如果虚拟机在工作状态中也可以迁移
2、如果虚拟机在迁移后的 IP 和 MAC 都没有变化
那么你的迁移就好比把一台服务器在带电情况下从 A 地搬到 B 地一样
如果这样的话，连接应该不会断开才对

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

yayasusu

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2010-07-22 17:31 |只看该作者

回复 6# platinum

恩，对，你说的是对的。目前的Xen虚拟机live migration就是这样的。
  我现在是想利用iptables，将迁移后之前的tcp连接断开。
  不过你提醒了我，我貌似应该在VMM处过滤。
  赶紧去试试。多谢啦。O(∩_∩)O~

PS:我看过你的一些文章，崇拜你。O(∩_∩)O~