IPVS的流量似乎不通过指导者节点上的netfilter。

Question

我在一个正在运行的主管节点上设置了以下设置：

• 本地IP 10.65.5.72
• VIP 10.65.230
• 为端口80和443启用DR模式

我正在调试一个问题，在这个问题中，我无法从导演节点本身访问IPVS服务，在这个过程中，我注意到IPVS的流量似乎没有通过netfilter。为了验证，我在iptables中的原始表中设置了以下规则：

Chain PREROUTING (policy ACCEPT 143K packets, 133M bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    60 MARK       all  --  *      *       10.65.5.72           10.65.5.230          MARK and 0xffffffff

然后我跑了

nc -v -s 10.65.5.72 10.65.5.230 80

我原以为包计数器会增加，但它没有。

如果我将nc命令中的端口号更改为80和443以外的任何内容，则计数器会进行增量。

同时，我确实看到了

ipvsadm -L -n --stats

当我运行前面提到的nc命令时，该命令应该表明有一个生成的数据包到达了某个位置。

这是ipvs的预期行为吗？从我在互联网上找到的资料来看，ipvs的流量应该通过网络过滤器。是什么导致了我看到的这种行为？

Answer 1

为了回答我自己的问题，正如http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.LVS-DR.html中所说的，

当数据包CIP->VIP到达指令时，它作为第二层分组被放入输出链中，并具有realserver的dest = MAC地址。

在将相同的规则添加到输出链之后，我确实看到数据包正在撞击规则。