LVSのDSR構成でfirewalldに追加しておくべき設定

firewalld設定
参考

firewalld設定

LVSでDSR構成の時、LVSにてfirewalldを有効にしているとFINフラグのパケットをDROPしてしまう問題に対応したもの。CentOS7にはiptablesコマンドがないので、firewalldのダイレクトルールに設定する。例えば、httpとhttpsのパケットを負荷分散する場合は以下ルールを追加する。

# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 80 -j ACCEPT
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 443 -j ACCEPT
# firewall-cmd --reload

参考

http://mikeda.hatenablog.com/entry/2014/12/24/122809
http://3.1415.jp/node-226/
http://blog.cybozu.io/entry/8942