今天办了一件晕事,主机之间做ping用tcpdump抓到了ping request,但是没有看到ping reply,查看主机的arp表,路由表都没有问题,忘记看iptables的规则。虽然在tcpdump看到包,只是代表包到了二层,并不能保证包到了三层。
下次需要注意。
可以通过下面这个命令查看 reject的统计信息。
iptables -nvx -L [Chain] /ip6tables -nvx -L [Chain]
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
需要特别注意的是上面这条规则,不是针对tcp的,是任何双向的交互,比如icmp。
这个规则的结果就是主动做的ping可以成功。而从外部来的ping request却会失败。
而且需要注意dpdk可能产生的影响。
