[问题求助]防火墙--Iptables--不稳定 的奇怪问题？(高手请进) [复制链接]

环境：
操作系统：      Redhat .A.S4 UP4，内核--2.6.9-42.ELsmp.
iptables版.本：  iptables-1.2.11-3.1.RHEL4 （不提供.nat和转发）.

问题描述：
  
        主机托管在网通机房，自己.设置的iptables脚本，自从机器放进机房后，大概没隔上10个小时，服务器.都要中断会，开始以为是机器死掉，后来留意观察下.，是可以ping通的，状态如下：电影

64 bytes from. 63.145.165.150: icmp_seq=0 ttl=45 tim.e=329 ms(        游戏          )
64 bytes from 63.145..165.1.50: icmp_seq=9 ttl=45 time=333 ms          婚庆
64 bytes from 63.145.165.150: icmp_seq=16 ttl=4.5 .time=329 ms电脑

半天才出现一个响应，远程ssh也连接不上，从.这里可以判断服务器应该没有死掉，等过了10来分钟，就可以ssh连接上了，查看iptables是开启的，然后，我在63.145.1.65.150上向外ping 58.251.69.42，状.态如下：.

ping: sendmsg: Operati.on not perm.itted健康
ping: sendmsg: Operation no.t permitt.ed(        游戏          )
ping: .sendmsg: .Operation not permitted电影
64 .bytes from 58.251.69.42: icmp_s.eq=3 ttl=64 time=0.141 ms           建材
ping: .sendmsg: Operation not perm.itted电脑
64 bytes from 58.251.69.42: icmp_.seq=5 ttl=64 time=0.103 m.s(        游戏          )
ping: sendms.g:. Operation not permitted    外汇
ping: send.msg: Operation not permit.ted.

再ping本地回环地址 lo ，状态如下：PING 127.0.0.1 (127.0.0.1). 56(84) bytes of da.ta.    健康
ping: s.endmsg: .Operation not permitted           女人
ping: sendmsg: O.peration not permitt.ed虚拟主机
ping:. sen.dmsg: Operation not permitted    健康
ping: sendmsg: Oper.ation not permit.ted电影

把防火墙停掉后，向外和自己都可以ping通.，再把防火墙开启后，向外和自己都可以pin.g通？？？？？服务器

我在电信.机房的iptables脚本和网通机房的iptables脚本是一模一样的，为什么电信机房没出现这种情况？？？？？.？             汽车

小弟不解？ 望高手.指教？？？？.

iptables脚本如下：
#!/bin/bash
# ==.================================.======================           女人
# The interface t.hat connect Interne.t.
  EXTIF="eth0"
  IPA.DDR="63.145.1.65.150"             女人

# 2.0 add. .modules of iptables<性病>
  PATH=/sbin:./bin:/us.r/sbin:/usr/bin服务器
. export PATH EXTIF            建材
  modpr.obe ip_tab.les            > /dev/null 2>&1投资
  modprobe iptable_nat .         > /dev/.null 2>&1.
  modprobe ip_nat_ftp           > /dev/nul..l 2>&1.
  modprobe ip_nat_.irc    .       > /dev/null 2>&1             汽车
  modprobe ip_conntr.ack         > /dev/null 2>.&1.
  modprobe ip_conntrack_f.t.p     > /dev/null 2>&1           女人
. modprobe ip_conntrack_irc     > /.dev/null 2>&1(广告)

# 3.0 clear all of th.e rules.外贸
  /sbin/.iptables -F[成人用品]
  /sb.in/iptables -X服务器
  /sbin./iptables -Z    外汇
  /sbin/iptab.les -F -t. nat.
  /sbin./iptables -X -t .nat    健康
. /sbin/iptabl.es -Z -t nat[成人用品]
  /sbi.n/iptables -P IN.PUT   DROP    健康
  /sbin./iptables -P .OUTPUT  ACCEPT.
  /sbin/iptables. -P FORWARD  DR.OP.
# 4.0 allow of l.o           建材
  /sbin/iptables -A I.NPUT -i lo   -j ACC.EPT.
  
  
# 5..0 all packet o.f ICMP and packet of established.
  /sbin/iptables -A INP.UT -m state --state ESTABLISHED,RELATED. -j ACCEPT[成人用品]
  .AICMP="0 3 3/4 8 12 14. 16 18"             电子
  for tyicmp in $.AICMP投资
  do
        /sbin/iptables .-A INPUT -i $EXTIF -p icmp --icmp-type .$tyicmp .-j ACCEPT            杀毒
  done

/sbin/iptab.les -A INPUT -p icmp -i $EXTIF -m limit --l.imit 1./s --limit-burst 10 -j ACCEPT          #DENY ATTACK OF ICMP--------------彩票

[ 本帖最后由 huifeideluotuo 于 2007-4.-12 .10:33 编辑 ]              乙肝

提供线索
1.有人攻击你.tcpdump,vmstat,netstat看一下
2.ping包是有速度限制的
有程序在大量发包导导致你无法ping
tcpdump一下

当时有问题的时候，系统负载很正常，apache连接数还不到200，应该不是攻击的迹象。

原来几次都是重新启动机器解决的，后来才发现，过一会系统就恢复正常了。
系统监控是用cacti做的，我想应该是收不到响应包，也就是出去的包出不去，导致的假死。

查了下资料，把 SElinux 关掉就可以了，这样做有什么理由吗？

小弟请教了，谢谢！！

selinux在好多应用中都要关上，版主解释一下

SELinux 很复杂，限制了很多东西，我也不会配置
但我做事有一个原则：当我还不知道一个东西是做什么用的时候，或者不知道会为我带来什么好处时，我不会去用

SELINUX,是一个LINUX的权限管理系统,它限制了LINUX的很多应用的权限.如果要求比较高可以,针对应用配置权限,如果一般应用那么把SELINUX禁用也可以的.或者让它只处于检测状态,这时候你可以看到屏幕上出现很多警告信息.

QUOTE:原帖由 platinum 于 2007-4-12 20:59 发表于 7楼  
SELinux 很复杂，限制了很多东西，我也不会配置
但我做事有一个原则：当我还不知道一个东西是做什么用的时候，或者不知道会为我带来什么好处时，我不会去用



赞就一个字 高

各位大哥，我认为iptables脚本没有问题。
那有可能是什么原因引起这种现象？，我实在是感到奇怪，为什么重新启动iptables，就可以了？
郁闷中！