iptables DROP не отбрасывает пакеты

Question

У меня есть два сервера, один из которых действует как резервный, а другой активный. В режиме ожидания pgpool постоянно проверяет, работает ли postgres на другом сервере. Я пытаюсь смоделировать ситуацию, когда запрос pgpool на активный сервер истекает, и пытается использовать для этого iptables DROP.

В соответствии с тем, что я прочитал, опция DROP тихо отбрасывает пакеты без источника, чтобы узнать об этом, и требуется много времени для отказа (для источника знать). Я использовал ниже запись в IPTables активного сервера

iptables -A INPUT -p tcp -s <standby server ip> -m state --state NEW,ESTABLISHED --dport 5432 -j DROP

Делая это, я мог имитировать тайм-аут, но раз слишком рано (даже не второй).

Может ли кто-нибудь объяснить, что это значит, «долгое время терпеть неудачу» во всех ссылках? и есть ли какой-либо вариант, который я могу использовать для увеличения времени, затраченного на провал.

Answer 1

Я тестировал это снова, используя telnet вместо pgpool, и он ожидал 60 секунд, как ожидалось. Оказывается, проблема в самом pgpool, но не в iptables. Я предоставляю это как ответ всем, кто столкнется с этим. Спасибо всем за ответы

Answer 2

В зависимости от местоположения правила в вашем наборе правил он может не срабатывать, и пакеты от <standby server ip> могут быть использованы в качестве правила ALLOW.

Вы можете активно следить за iptables, чтобы увидеть, что правила стрельбы с использованием watch

$ sudo watch -n1 "iptables -vnL" 

«Возьмите много времени, чтобы потерпеть неудачу» означает, что DROP говорит IPTables не отвечать отправителю пакета с пакетом сброса TCP или icmp. Это приводит к тому, что отправитель должен дождаться указанного периода ожидания до закрытия попытки подключения.