Iptables NAT tcp连接中断

DreamAndLove

系统描述(linux)：
PC1 -> nat服务器, kernel: 2.6.37
     eth0:  10.27.16.65
     usb0:  192.168.0.254

iptable rules:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 255.255.255.252/30 -j ACCEPT
iptables -t nat -A PREROUTING -d 10.27.16.65 -j DNAT --to 192.168.0.253
iptables -t nat -A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t nat -A POSTROUTING -s 192.168.0.253 -j SNAT --to 10.27.16.65

route table:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.252   0.0.0.0         255.255.255.252 U     0      0        0 usb0
10.27.16.0      0.0.0.0         255.255.248.0   U     0      0        0 eth0
0.0.0.0         10.27.16.1      0.0.0.0         UG    0      0        0 eth0



PC2 -> 客户端 route add default gw 192.168.0.254
     usb0:  192.168.0.253

route table:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.254   0.0.0.0         UG    0      0        0 usb0
192.168.0.252   *               255.255.255.252 U     0      0        0 usb0


问题描述：PC2上tcp连接随机中断
PC2 -> wget http://10.27.16.157/a.apk
    走同网段的地址，tcp连接正常，不会出任何错误

   -> wget http://10.27.122.64/a.apk
    走其他网段地址， tcp连接出现随机中断
    error_1 string:  - stalled -
    error_2 string:  wget: read error: Connection reset by peer

   -> 出现错误时, 在10.27.122.64服务器端抓包，会有一系列的TCP RST状态的包; 但是在PC2上的抓包，却没有发现PC2发出这些RST状态的包.

chenyx

规则没有问题啊,太奇怪了. 请@platinum版主帮忙吧

chenyx

iptables -A FORWARD -s 255.255.255.252/30 -j ACCEPT
iptables -t nat -A PREROUTING -d 10.27.16.65 -j DNAT --to 192.168.0.253
iptables -t nat -A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

这几行注释下看看

DreamAndLove

回复 2# chenyx

1. iptables -A FORWARD -s 255.255.255.252/30 -j ACCEPT
   
2. iptables -t nat -A PREROUTING -d 10.27.16.65 -j DNAT --to 192.168.0.253
   
3. iptables -t nat -A POSTROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

复制代码

注释了这三行，还是会出现这个错误！


   

chenyx

你将PC1上iptables的规则和路由表都贴一下吧.
另外,你在PC1上wget122网段的,会不会出现中断的现象?

DreamAndLove

单独在PC1上wget http://10.27.122.64/a.apk, 没有任何错误，
只有在PC2上执行wget时，才会出现tcp连接中断的问题

chenyx

挺奇怪的,你把iptables -t nat -L -nv的结果贴一下.

DreamAndLove

回复 6# chenyx
iptable rules

1. # iptables -nvL
   
2. Chain INPUT (policy ACCEPT 2915 packets, 335K bytes)
   
3. pkts bytes target     prot opt in     out     source               destination         
   
4. 
   
5. Chain FORWARD (policy ACCEPT 3 packets, 180 bytes)
   
6. pkts bytes target     prot opt in     out     source               destination         
   
7. 2554 2690K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   
8. 
   
9. Chain OUTPUT (policy ACCEPT 1252 packets, 176K bytes)
   
10. pkts bytes target     prot opt in     out     source               destination
    
11. 
    
12. # iptables -t nat -nvL
    
13. Chain PREROUTING (policy ACCEPT 170 packets, 24890 bytes)
    
14. pkts bytes target     prot opt in     out     source               destination         
    
15. 
    
16. Chain INPUT (policy ACCEPT 168 packets, 24770 bytes)
    
17. pkts bytes target     prot opt in     out     source               destination         
    
18. 
    
19. Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    
20. pkts bytes target     prot opt in     out     source               destination         
    
21. 
    
22. Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    
23. pkts bytes target     prot opt in     out     source               destination         
    
24.     2   120 SNAT       all  --  *      *       192.168.0.253       0.0.0.0/0            to:10.27.16.65

复制代码

DreamAndLove

回复 8# chenyx
谢谢!
platinum版主在线吗?

   

DreamAndLove

@platinum版主， 帮忙看看大概什么原因产生这种bug