问题现象:
实施同学反馈Linux服务器重启后从其他节点上无法ping通
定位过程
源服务器A进行ping测试
[root@reg data]# ping 10.10.16.103
PING 10.10.16.103 (10.10.103) 56(84) bytes of data.B节点抓包验证
[root@localhost ~]# tcpdump -nn -i any icmp and host 10.10.16.102
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
11:35:03.803546 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 386
11:35:04.804514 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 556
11:35:05.804369 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 386
11:35:06.805516 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 386
11:35:07.804405 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 556
11:35:08.275270 IP 10.10.16.103 > 10.10.16.102: ICMP echo request, id 20690, seq 1, length 24
11:35:08.275855 IP 10.10.16.102 > 10.10.16.103: ICMP echo reply, id 20690, seq 1, length 24
11:35:08.804404 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 386
11:35:09.803681 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 386
11:35:10.804445 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 388
11:35:11.804145 IP 10.10.16.102 > 10.10.16.103: ICMP 10.10.16.102 udp port 6831 unreachable, length 388从目标端看到103节点针对icmp没有echo reply回包
排查方向1:iptables策略是否禁ping
部分系统可能回默认禁ping
iptables -L -n -v | grep ICMP
重点关注:
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0或者更隐蔽的:
-A INPUT -p icmp --icmp-type echo-request -j DROP经过排查没有发现异常
排查方向2:内核参数
root@localhost \~# sysctl net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 1
root@localhost \~#
root@localhost \~# cat /etc/sysctl.conf | grep net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all=1
解决方案:此内核参数修改为0后解决,参数作用-忽略 ICMP Echo Request