ping sendmsg 不允许的操作
64 bytes from 192.168.0.98: icmp_seq=122 ttl=64 time=0.091 ms
64 bytes from 192.168.0.98: icmp_seq=123 ttl=64 time=0.088 ms
64 bytes from 192.168.0.98: icmp_seq=124 ttl=64 time=0.103 ms
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
执行ping命令的时候,会出现不允许的操作问题
分析
这个问题分析按照如下流程
- 是否有防火墙,是不是防火墙给禁掉了
- 应该不是禁了ipmi不然上面的肯定还会通
- 查看防火墙策略,入网和出网都看下 output/input(而且ping的机器和被ping的机器 都要看)
- 是否有其他安全软件,例如齐安信等安全软件
- 查看nf_conntrack_max值是否够大
- 查看日志报错
主要分析第三步
按照如下流程进行排查和修改配置
- 查看模块是否安装,输入命令
lsmod | grep conntrack如果没安装则忽略此分析流程,不会是这个导致的问题 - 输入命令“
sysctl net.netfilter.nf_conntrack_count”查看当前连接追踪数,然后输入“sysctl net.netfilter.nf_conntrack_max”查看允许最大连接追踪数,如果超出了最大连接追踪数,则可以考虑加大这个限制,不过需要注意的是,nf_conntrack_max不能无限制的加大,需要结合系统实际的运行内存来决定。 - 以将nf_conntrack_max修改为262114为例,永久加大nf_conntrack_max的方法为,在
/etc/systctl.conf文件中,添加“net.nf_conntrack_max=262114”,然后保存退出,最后输入命令“sysctl -p”即可生效。
如果要加载该模块则输入“
modprobe ip_conntrack”命令,非必要不安装