多播数据包未正确到达 podman 内部。找到解决方法,但不清楚是 firewalld 问题还是 podman 问题?
Multicast packet not arrived inside podman correctly. Workaround found, but unclear if it is a firewalld issue or a podman issue?
我对 firewalld、podman 和 UDP/Multicast 越来越着迷。当我看到 UDP 数据包到达 podman 时;使用 tcpdump 命令确认。似乎我无法使用名称为 knx_multicast 的自定义 firewalld 区域进行配置,只有当 UDP 数据包来自多播组 224.0.23.12:3671.
时才应该接受
给出最小的例子,写在Java:
import java.net.DatagramPacket;
import java.net.InetAddress;
import java.net.MulticastSocket;
import java.net.NetworkInterface;
public class Test {
public static void main(String[] args) throws Throwable {
final var group = InetAddress.getByName("224.0.23.12");
final var s = new MulticastSocket(3671);
final var ni = NetworkInterface.getByName("enp1s0");
s.setNetworkInterface(ni);
s.joinGroup(group);
System.out.println("Start listening ... @" + ni );
final var buf = new byte[1000];
DatagramPacket recv = new DatagramPacket(buf, buf.length);
s.receive(recv);
System.out.println(recv.getData());
s.leaveGroup(group);
s.close();
}
}
我将 firewalld 配置为:
knx_multicast (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 224.0.23.12
services:
ports: 3671/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
在 CentOS 8.1 上测试多播数据包
现在我首先在 CentOS 8.1 运行 中进行了测试,当我获得一些数据时它可以正常工作(请参阅下面的 [B@61a52fbd)
[root@PIT-Server ~]# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
[B@61a52fbd
在 CentOS 8.1 上使用 PODMAN 测试多播数据包
下一步是在 podman 容器中进行测试(图像:'adoptopenjdk/openjdk11:latest',即 "Ubuntu 18.04.3 LTS" 上的 运行),使用:podman run --rm -it --net host docker.io/adoptopenjdk/openjdk11 /bin/bash
在 podman 中,我还看到了来自 PIT-KNX(KNX 路由器)的 UDP 数据包。
root@PIT-Server:/tcpdump -i enp1s0 udp port 3671
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:49:35.583901 IP PIT-KNX.pit-router.3671 > 224.0.23.12.3671: UDP, length 17
19:49:36.032139 IP PIT-KNX.pit-router.3671 > 224.0.23.12.3671: UDP, length 18
... lines omitted ...
启动同一个 java 应用程序(在容器环境之外工作)我无法获取任何数据(在 "Start listening" 之后没有字节数组到达)
root@PIT-Server:/# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
解决方法(防火墙)
在调查了几个 hours/coffees 之后,我发现在 zone=knx_multicast 中允许端口是不够的。我也必须将端口添加到 zone=public,使用:firewall-cmd --add-port=3671/udp。 firewalld 的配置现在是:
knx_multicast (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 224.0.23.12
services:
ports: 3671/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client ssh
ports: 3671/udp <== ADDED!!!! (that one fixes the problem)
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
在 CentOS 8.1 上使用 PODMAN 重新测试多播数据包
通过重新运行 java 应用程序,我现在能够看到到达的 UDP 多播数据包(参见:下面的 [B@61a52fbd)
root@PIT-Server:/# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
[B@61a52fbd
我的问题...发生了什么事?后续步骤?
任何人都可以帮助我了解问题到底是什么吗?为什么我也必须将端口添加到 zone=public?这是我这边的错误还是配置问题?如何在不将端口添加到 zone=public 的情况下解决它?我有什么误解吗?
如果只添加一个新的 firewalld 区域(称为 knx_multicast),我会更舒服;并保持 firewalld public 区域的配置不变。建议?
谢谢你,克里斯托夫
感谢@Ron Maupin 指出问题。我的防火墙配置错误。
问题已通过创建新服务得到解决:
firewall-cmd --permanent --new-service=knx
firewall-cmd --permanent --service=knx --set-description="KNXnet/IP is a part of KNX standard for transmission of KNX telegrams via Ethernet"
firewall-cmd --permanent --service=knx --set-short=KNX
firewall-cmd --permanent --service=knx --add-port=3671/udp
为了能够添加新创建的服务,重新加载 firewalld 并添加它
firewall-cmd --reload
firewall-cmd --permanent --add-service=knx
这将创建一个服务文件:/etc/firewalld/services/knx.xml,内容如下:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>KNX</short>
<description>KNXnet/IP is a part of KNX standard for transmission of KNX telegrams via Ethernet</description>
<port port="3671" protocol="udp"/>
</service>
防火墙配置如下所示:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client knx ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
我对 firewalld、podman 和 UDP/Multicast 越来越着迷。当我看到 UDP 数据包到达 podman 时;使用 tcpdump 命令确认。似乎我无法使用名称为 knx_multicast 的自定义 firewalld 区域进行配置,只有当 UDP 数据包来自多播组 224.0.23.12:3671.
给出最小的例子,写在Java:
import java.net.DatagramPacket;
import java.net.InetAddress;
import java.net.MulticastSocket;
import java.net.NetworkInterface;
public class Test {
public static void main(String[] args) throws Throwable {
final var group = InetAddress.getByName("224.0.23.12");
final var s = new MulticastSocket(3671);
final var ni = NetworkInterface.getByName("enp1s0");
s.setNetworkInterface(ni);
s.joinGroup(group);
System.out.println("Start listening ... @" + ni );
final var buf = new byte[1000];
DatagramPacket recv = new DatagramPacket(buf, buf.length);
s.receive(recv);
System.out.println(recv.getData());
s.leaveGroup(group);
s.close();
}
}
我将 firewalld 配置为:
knx_multicast (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 224.0.23.12
services:
ports: 3671/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
在 CentOS 8.1 上测试多播数据包
现在我首先在 CentOS 8.1 运行 中进行了测试,当我获得一些数据时它可以正常工作(请参阅下面的 [B@61a52fbd)
[root@PIT-Server ~]# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
[B@61a52fbd
在 CentOS 8.1 上使用 PODMAN 测试多播数据包
下一步是在 podman 容器中进行测试(图像:'adoptopenjdk/openjdk11:latest',即 "Ubuntu 18.04.3 LTS" 上的 运行),使用:podman run --rm -it --net host docker.io/adoptopenjdk/openjdk11 /bin/bash
在 podman 中,我还看到了来自 PIT-KNX(KNX 路由器)的 UDP 数据包。
root@PIT-Server:/tcpdump -i enp1s0 udp port 3671
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:49:35.583901 IP PIT-KNX.pit-router.3671 > 224.0.23.12.3671: UDP, length 17
19:49:36.032139 IP PIT-KNX.pit-router.3671 > 224.0.23.12.3671: UDP, length 18
... lines omitted ...
启动同一个 java 应用程序(在容器环境之外工作)我无法获取任何数据(在 "Start listening" 之后没有字节数组到达)
root@PIT-Server:/# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
解决方法(防火墙)
在调查了几个 hours/coffees 之后,我发现在 zone=knx_multicast 中允许端口是不够的。我也必须将端口添加到 zone=public,使用:firewall-cmd --add-port=3671/udp。 firewalld 的配置现在是:
knx_multicast (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 224.0.23.12
services:
ports: 3671/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client ssh
ports: 3671/udp <== ADDED!!!! (that one fixes the problem)
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
在 CentOS 8.1 上使用 PODMAN 重新测试多播数据包
通过重新运行 java 应用程序,我现在能够看到到达的 UDP 多播数据包(参见:下面的 [B@61a52fbd)
root@PIT-Server:/# javac Test.java && java Test
Start listening ... @name:enp1s0 (enp1s0)
[B@61a52fbd
我的问题...发生了什么事?后续步骤?
任何人都可以帮助我了解问题到底是什么吗?为什么我也必须将端口添加到 zone=public?这是我这边的错误还是配置问题?如何在不将端口添加到 zone=public 的情况下解决它?我有什么误解吗?
如果只添加一个新的 firewalld 区域(称为 knx_multicast),我会更舒服;并保持 firewalld public 区域的配置不变。建议?
谢谢你,克里斯托夫
感谢@Ron Maupin 指出问题。我的防火墙配置错误。
问题已通过创建新服务得到解决:
firewall-cmd --permanent --new-service=knx
firewall-cmd --permanent --service=knx --set-description="KNXnet/IP is a part of KNX standard for transmission of KNX telegrams via Ethernet"
firewall-cmd --permanent --service=knx --set-short=KNX
firewall-cmd --permanent --service=knx --add-port=3671/udp
为了能够添加新创建的服务,重新加载 firewalld 并添加它
firewall-cmd --reload
firewall-cmd --permanent --add-service=knx
这将创建一个服务文件:/etc/firewalld/services/knx.xml,内容如下:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>KNX</short>
<description>KNXnet/IP is a part of KNX standard for transmission of KNX telegrams via Ethernet</description>
<port port="3671" protocol="udp"/>
</service>
防火墙配置如下所示:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp1s0
sources:
services: cockpit dhcpv6-client knx ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules: