Re: Kubernetes, virtuelle Netzwerke und ein DNS Problem (vmtl. Iptables)

[Marc Haber <mh+debian-user-german@zugschlus.de>]

On Thu, 26 Dec 2019 00:16:45 +0100, Jan Kohnert <jan@jan-kohnert.de>
wrote:
>Soweit klar, es waren auch nur Beispiele. Der Service-Pod unter der IP hat nur 
>einen DNS-Server, daher "connection refused"

Connection Refused kann zwei Gründe haben: ein ICMP prohibited oder
ein TCP RST. beide Pakete können von unterschiedlichen Absendern
kommen und unterschiedliche Gründe haben. Schaue Dir das im tcpdump an
und finde die Ursache.

>Mir ging es hier darum, dass offensichtlich irgendetwas die Pakete DROPt, was 
>das "no route to host" erklären würde.

"no route to host" kommt, wenn gar keine Kommunikation mit dem Host
möglich ist, weil er z.B. nicht auf Neighbor Solicitation (IP) oder
ARP (legacy IP) antwortet. Sobald der Host prinzipiell erreichbar ist,
aber die konkrete Kommunikation gedroppt wird, läuft man in einen
timeout.

Nutze tcpdump und stelle fest, was genau passiert.

Ein DROP ist übrigens genau deswegen keine besonders gute Idee: Es
versteckt Konfigurationsfehler hinter Timeouts.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834