負載均衡這個詞，相信大家都耳熟能詳了，那我們今天再來回顧一下，常見的負載均衡有硬件的例如F5、網絡廠商H3C、Cisco都有自己的負載均衡方案，但是這些都是價格不菲，那到底有沒有免費的午餐呢？答案雖然是沒有，哈哈，但是我們有章文嵩博士創立的開源負載均衡LVS。

言歸正傳，LVS+Keepalived架構搭建完畢后，如果我們都負載均衡、后端Nginx都配置的外網ip，采用LVS-DR模式的話，安全方面就得考慮了，當然安全的概率非常大：包括前端硬件防火墻的配置、機房設施管理、人員操作、服務器系統安全等。

那我們今天來討論服務器系統的安全，常見的有關閉不必要的服務和端口，開啟iptables防火墻，如果LVS對外提供80 web服務該如何配置呢？操作系統為CentOS 6.0 x86_64 iptables添加代碼如下：（注*確認是否開啟22端口對自己內部訪問，以防重啟iptables后，SA無法遠程登陸）

#允許80端口對外提供服務???

?

-A?INPUT?-m?state?--state?NEW?-m?tcp?-p?tcp?--dport?80?-j?ACCEPT???

?

#LVS?DR模式，當用戶請求LVS-DR?VIP時，只有DR響應客戶端的ARP廣播包，允許vrrp虛擬路由器冗余協議???

?

-A???INPUT???-d???224.0.0.0/8???-j???ACCEPT???

?

-A???INPUT????-p???vrrp???-j???ACCEPT??

? ? 如上設置完畢，重啟iptables服務 /etc/init.d/iptables restart 即可。

? ? 當我們配置好iptables，某一天網站訪問量大，突然發現部分客戶訪問巨慢無比，甚至無法訪問網站，查看后臺日志狂刷如下信息：

kernel?nf_conntrack:?table?full,?dropping?packet???

?

#準確定位該問題是由于iptables?ip_conntrack表爆滿之后丟棄數據包的問題。查看系統內核：?

?

cat?/etc/sysctl.conf?|grep?conntrack??

?

#沒有查找到相關配置，于是決定在/etc/sysctl.conf增加如下兩行設置ip_conntrack表值：（注*Centos6以上內核ip_conntrack參數已經改成nf_conntrack）?

?

net.nf_conntrack_max?=?655360??

?

net.netfilter.nf_conntrack_tcp_timeout_established?=?36000??

?

#然后執行sysctl?-p?使其生效:?

?

#如果報錯：error:?“net.nf_conntrack_max”?is?an?unknown?key????

?

#則需要使用modprobe載入ip_conntrack模塊???

?

modprobe?ip_conntrack????

?

#查看模塊是否已載入???

?

lsmod|grep?ip_conntrack??

本文就寫到這里了，當然LVS的知識還非常的深入，我也是在不斷的學習和總結中，歡迎大家快樂分享！一起成長！

文章參考資料：

http://www.myfreelinux.com/?p=743&cpage=2&replytocom=223803

http://home.wonderad.com/?p=65

http://blog.sina.com.cn/s/blog_704836f40100lwy2.html

總結

以上是生活随笔為你收集整理的LVS 配置Iptables防火墙及故障解决的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。