Iptables приводит к зависанию ssh?

Question 1

Попробуйте запустить iptables -L -n(добавьте опцию -n). Разрешение имен может привести к зависанию iptables -L.

Answer

Попробуйте запустить iptables -L -n(добавьте опцию -n). Разрешение имен может привести к зависанию iptables -L.

Question 2

Вы полностью блокируете ICMP? Если да, то вы могли создатьPMTU черная дыра.

Answer

Вы полностью блокируете ICMP? Если да, то вы могли создатьPMTU черная дыра.

Question 3

Есть ли у вас правило iptable, разрешающее прохождение установленного трафика?

iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Я также видел эту проблему из-за разделения горизонта в сети, но это не похоже на вашу проблему, поскольку проблема исчезает, когда вы удаляете правила iptable.

Answer

Есть ли у вас правило iptable, разрешающее прохождение установленного трафика?

iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Я также видел эту проблему из-за разделения горизонта в сети, но это не похоже на вашу проблему, поскольку проблема исчезает, когда вы удаляете правила iptable.

Question 4

Это может быть проблема «черной дыры» MTU.

MTU — это максимальная единица передачи; насколько большой пакет может обработать каждая сторона. Ethernet по умолчанию имеет значение 1500 байт, но это далеко не единственная возможность.

Короткие команды работают, потому что они меньше обоих размеров MTU. Более длинные — нет, потому что они не такие.

Если оба конца соединения не используют одинаковый MTU или если сеть посередине имеет меньший MTU, вашим системам придется как-то это выяснить; этот процесс называется обнаружением MTU пути.

Это происходит с сообщениями ICMP. Если вы блокируете все ICMP, ну, вы блокируете полезные вещи.

Более подробная информация здесь:Почему бы не заблокировать ICMP?

Также обратите внимание, что если сеть с малым MTU в середине находится на уровне 2 (например, настроенные вами мосты), обнаружение MTU пути работать не будет; пакеты будут просто отбрасываться и отображаться как ошибки на коммутаторе/мосте и/или на интерфейсах Ethernet.

Answer

Это может быть проблема «черной дыры» MTU.

MTU — это максимальная единица передачи; насколько большой пакет может обработать каждая сторона. Ethernet по умолчанию имеет значение 1500 байт, но это далеко не единственная возможность.

Короткие команды работают, потому что они меньше обоих размеров MTU. Более длинные — нет, потому что они не такие.

Если оба конца соединения не используют одинаковый MTU или если сеть посередине имеет меньший MTU, вашим системам придется как-то это выяснить; этот процесс называется обнаружением MTU пути.

Это происходит с сообщениями ICMP. Если вы блокируете все ICMP, ну, вы блокируете полезные вещи.

Более подробная информация здесь:Почему бы не заблокировать ICMP?

Также обратите внимание, что если сеть с малым MTU в середине находится на уровне 2 (например, настроенные вами мосты), обнаружение MTU пути работать не будет; пакеты будут просто отбрасываться и отображаться как ошибки на коммутаторе/мосте и/или на интерфейсах Ethernet.

Iptables приводит к зависанию ssh?

решение1

решение2

решение3

решение4

Связанный контент