防火墙导致Linux发送网络报文出现errno等于1的错误码

原创 已于 2022-07-05 21:20:48 修改 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #errno #不允许的操作 #not permitted

于 2022-07-04 22:58:08 首次发布
本文探讨了在服务器启动过程中UDP Socket发送报文遇到errno 1错误的现象及解决方案。通过对网络配置和防火墙规则的分析,揭示了该问题的偶发性和背后的原因,并提供了具体的测试案例。

    服务启动过程中,偶然间看到udp socket发送报文,出现 errno == 1 错误码。

    错误码对应的描述:

  1.    zh_CN: 不允许的操作
  2.    en_US: Operation not permitted

  出现错误的代码,在失败后,下次定时尝试重作,无权限问题不出现了,具有偶发性!

分析

   在服务器启动过程中发送网络报文,出现errno == 1错误,最开始执拗于udp socket是无连接的协议,只要目的地址正确,而且有响应的路由,都应该可以发送的,觉得不应该出现此类错误?

   而且,在网上搜索,此类错误码等于‘1’的场景描述也较少。

   为了具体而微地解剖这个问题,特意从网上复制了一个udp socket的例子,进行发送接口不同的异常参数设置,发现udp socket的发送接口函数对于异常参数输入,虽然得到的errno的值是各不一样的,但就是不是为errno == 1的错误码!

   积累了两天的观察和对比分析,以及基于过去对于k8s  service IP是通过iptables进行NAT转换到达后端POD IP; 如果通过tcpdump抓取报文,就会发现访问service IP的报文,实际上被转换为POD IP投送过去,所以,k8s的很多网络问题,必须首先保证POD网络,或k8s节点网络的互通!

   猜测在启动节点,k8s对于iptables nat规则设置可能处于中间态,在NAT规则未设置完全的情况下,对于某些service IP网络服务Endpoint进行访问,发送网络报文,就会在防火墙层面拒绝了,进而,socket接口返回错误码,出现无权限提示!

  有了怀疑的方向和测试程序在手,就可以进一步验证是否如此!

  通过防火墙命令设置测试程序的目的port被不允许,则在测试程序中,就打印了‘permission not allowed’的错误提示:)

 知道的原因,就可以根据这个原因,采取一些规避的措施了!

  一切都得到了解释,是如此的欢快!!!

再次补充证明材料

# 如果在启动过程持续观察k8s节点,对于POD IP Endpoint的限制变化
# 就可以看出k8s在这个错误码场景的嫌疑

while true; do iptables -t filter -S | grep endpoint_keyword; echo 'sleep a while'; sleep 1; done

后来,觉得应该可以通过持续观察防火墙设置,发现k8s对于防火墙规则的修改过程,通过循环脚本执行了下,果然如此!

Linux UDP Socket 编程例子

#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

int main(int argc, char * argv[]) {

    int client_sockfd;
    int len;
    char buf[BUFSIZ]            = {}; //数据传送的缓冲区
   
    struct sockaddr_in remote_addr; //服务器端网络地址结构体
    remote_addr.sin_family      = AF_INET; //设置为IP通信
    remote_addr.sin_addr.s_addr = inet_addr("172.16.6.1"); //服务器IP地址
    remote_addr.sin_port        = htons(8000); //服务器端口号

    /*创建客户端套接字--IPv4协议,面向无连接通信,UDP协议*/
    if ((client_sockfd = socket(PF_INET, SOCK_DGRAM, 0)) < 0) {
        printf("\n create socket error");
        return 1;
    }

    strcpy(buf, "This is a test message"); // 发送的内容
    printf("sending: '%s'\n", buf);

    /*向服务器发送数据包;如果出现安全因素阻拦,例如,防火墙,则出现errno == 1 的错误码*/

    if ((len = sendto(client_sockfd, buf, strlen(buf), 0, (struct sockaddr * ) &remote_addr, sizeof(struct sockaddr))) < 0) {
        char szErrno[128];
        strerror_r(errno, szErrno, sizeof(szErrno));
        printf("\n sendto error, errno:%d, %s", errno, szErrno);
        return 1;
    }

    printf("\n close udp socket fd\n");
    /*关闭套接字*/
    close(client_sockfd);

    return 0;
}

linux网络编程中的errno处理
litterboys的博客
03-23 1001
本文介绍了在 Linux 网络编程中处理 errno 的方法。在接受连接、建立连接和连接读写阶段可能会遇到多种 errno,如 EINTR、EAGAIN、EWOULDBLOCK、ECONNRESET、EPIPE、ENOTCONN、ETIMEDOUT、ECONNREFUSED、EINVAL 等,需要对一些 errno 进行忽略,对于其他错误则需要执行错误回调或者直接处理错误。
Linux高级--2.4.2 linux TCP 系列操作函数 -- 深层理解
weixin_44209111的博客
12-25 998
Linux 中,TCP(传输控制协议)操作涉及多种系统调用和函数,通常用来创建套接字、连接、发送/接收数据、关闭连接等。socket(): 创建一个(具体为),并与socket_fd关联。listen(): 在tcp_sock半连接队列存放,用于管理三次握手中的连接。全连接队列存放已建立连接的。accept(): 从全连接队列中取出一个,为它分配一个新的文件描述符client_fd,并将client_fd与这个TCP连接的TCB()绑定。因此,调用accept()
Linux errno详解
weixin_34082177的博客
09-06 1148
1. 错误码 / errno Linux中系统调用的错误都存储于 errno中,errno操作系统维护,存储就近发生的错误,即下一次的错误码会覆盖掉上一次的错误。 PS: 只有当系统调用或者调用lib函数时出错,才会置位errno! 查看系统中所有的errno所代表的含义,可以采用如下的代码: /* Function: obtain the errno string * char *st...
Linux常见errno列表
最新发布
u011743621的博客
09-03 940
errno 在 <errno.h> 中定义,错误 Exx 的宏定义在 /usr/include/asm-generic 文件夹下面的 errno-base.h 和 errno.h,分别定义了 1-34 、35-132 的错误定义。strerror() 函数依据 errno 值返回错误描述字符串,下面程序打印对照表:int main()int i;for(i = 0;i < 140;return 0;
linux socket编程 errno 1 创建套接字失败
so_do_it的博客
06-04 3367
权限问题 在root用户下启动程序。 mSocket = socket (AF_INET, SOCK_RAW, IPPROTO_ICMP);      if (m_hSocket == INVALID_SOCKET)      {          printf("create socket err:%d\n", errno);          return false;     }errno ...
sendto 返回errnor 1,错误码1 Operation not permitted
fuyuande的博客
11-22 6289
使用udp套接字发送失败,返回-1错误码1,ping操作显示Operation not permitted 这个是防火墙导致的,使用iptables关掉防火墙去就没问题。 iptables -F  
errno是什么?
xiaofei0859的专栏
12-04 9858
 1.为防止和正常的返回值混淆,系统调用并直接返回错误码,而是将错误码放入一个名为errno的全局变量中。如果一个系统调用失败,你可以读出errno的值来确定问题所在。errno同数值所代表的错误消息定义在errno.h中,你也可以通过命令"man 3 errno"来察看它们。需要注意的是,errno的值只在函数发生错误时设置,如果函数发生错误,errno的值就无定义,并会被置
基于Linux C语言的网络编程场景中,哪些情况下会导致tcp连接的套接字失效
08-28
我们正在讨论基于Linux C语言的网络编程中导致TCP连接套接字失效的情况。根据用户的问题,我们需要列举并解释这些情况。注意,套接字失效意味着该套接字再能用于通信,通常需要关闭并移除。 导致TCP套接字失效的...
TCP/IP网络实验程序解析与Linux开发指南
《TCP/IP网络实验程序篇》是一本...诸如socket()、bind()、listen()、accept()、connect()、send()、recv()等一系列POSIX标准函数被逐一拆解,结合errno错误码分析、I/O多路复用技术(select/poll/epoll)的应用场景...
Linux&C++:网络编程(一)最原始服务端及客户端代码实现和函数释义
qq_37233070的博客
09-23 616
前言:学习编程一定要敲,接着测试,然后查资料,最后总结!!! socket这个单词在C++网络编程中的含义 socket中文就是插座。运行在计算机中的两个程序通过socket建立起一个通道,数据在通道中传输。 socket把复杂的TCP/IP协议族隐藏了起来,对程序员来说,只要用好socket相关的函数,就可以完成网络通信。 socket分类 socket有两种通信机制,如下: 流(stream) 数据报(datagram) 又称 流socket 数据报socket 依赖协议 基于
ESP32异常响应智能应对:HTTP 4xx_5xx错误码自动重试与降级策略设计
然而,在实际网络通信过程中,受信号强度、服务器稳定性、协议兼容性等因素影响,HTTP请求常出现超时、连接中断、错误码返回等异常响应。这些异常若未被妥善处理,将直接导致设备“假死”、数据丢失或服务可用。 ...
Linux错误处理(errno
程序猿Ricky的日常干货
03-19 3587
Linux系统函数失败后都会返回一个负值,并且整形变量errno通常被设置为错误码。我们在使用错误码时,需要包含如下头文件 #include <errno.h> errno只在函数返回错误时才有意义,当函数执行正常返回时并会重置errno,因此此时的errno能作为错误处理的。 errno是一个int型变量,除了直接使用该变量,还有两个和其相关的API可以方便的查看错误类型: ...
socket errno大全
热门推荐
partner1的专栏
07-14 1万+
0:Success 1:Operation notpermitted 2:No such fileor directory 3:No suchprocess 4:Interruptedsystem call 5:Input/outputerror 6:No such deviceor address 7:Argument listtoo long 8
Linux errno 错误对照表
a656343072的专栏
11-17 2534
本文转自 :http://blog.youkuaiyun.com/gpengtao/article/details/7553307 errno 在 中定义,错误 Exx 的宏定义在 /usr/include/asm-generic 文件夹下面的  errno-base.h 和 errno.h,分别定义了 1-34 、35-132 的错误定义。 strerror() 函数依据 errno 值返回错误描述字
errno错误对照表
Lavender的博客
11-29 5235
错误对照表: 错误值 内容 errno 0 : Success 成功 errno 1 : Operation not permitted 允许操作 errno 2 : No such file or directory 没有这样的文件或目录 errno 3 : No such process 没有这样的过程 errno 4 : Interrupted system call 中断的系统调用 errno 5 : Input/output error 输入/输出错误
LinuxLinux系统错误码errno详解
萧邯编程笔记
06-26 3721
在嵌入式Linux开发中,使用errno进行错误处理是非常常见和必要的。嵌入式系统通常需要处理各种硬件和软件的交互,错误处理和调试是确保系统稳定性和可靠性的关键部分。errno在嵌入式Linux开发中是一个重要的工具,通过合理使用errno,可以有效地捕获和处理各种错误情况,确保系统的稳定性和可靠性。在Linux系统中,errno是一个全局变量,用于表示最近一次系统调用或库函数调用出错时的错误码。每个错误码对应一个特定的错误类型。了解这些错误码有助于调试和处理错误情况。
npm ERR! code ELIFECYCLE npm ERR! errno 1 npm ERR! test_vue_0613@1.0.0 dev
南方五宿放眼观,犹如潇湘黛未施
06-19 458
在尝试把项目的 node_modules文件夹直接复制过去之后发现问题还没有得到解决,可以执行 npm i 或是查看文件package.json其中 "webpack": "^4.42.0", 配置文件是版本4。 cnpm install 命令【安装依赖包】 npm run serve vue.js 三种方式安装(vue-cli) 参考二 ...
Linux中socket 错误编码表 errno
Fengfgg的博客
05-13 2111
虽然errno是非线程安全的,但是可以通过几种机制保证其安全。。 最近在使用的过程中获得了errno,程序无法执行,也知道如何解决问题。因此,理解每一个返回的errno整数值的含义是很重要的。。 这个我们可以通过strerror函数来实现。。 strerror(返回整数errno对应的错误原因的描述字符串) 所需头文件: #include 函数声明: char * strerror(int errnum); 输入: 整数errno 输出: 返回描述.
linux errno错误码的优缺点
08-08
Linux 中的 `errno` 是一个全局变量,用于保存最近一次系统调用或库函数调用失败时的错误代码。它在 POSIX 标准中被定义,并广泛用于诊断错误和调试程序。以下是关于 `errno` 设计的优缺点分析: ### 优点 1. **标准化与可移植性** `errno` 提供了一组标准化的错误码,如 `EINVAL`(无效参数)、`ENOMEM`(内存足)、`ENODEV`(设备存在)等。这些错误码同系统间具有良好的一致性,使得开发者可以编写可移植的错误处理代码[^1]。 2. **易于调试与诊断** 通过 `errno`,开发者可以快速定位系统调用失败的原因。例如,当 `open()` 返回 -1 时,检查 `errno` 可以得知是文件存在(`ENOENT`)还是权限足(`EACCES`)等问题。 3. **线程安全性设计(TLS)** 在现代 Linux 系统中,`errno` 被实现为线程本地存储(Thread Local Storage, TLS),每个线程拥有独立的 `errno` 值。这种设计避免了多线程环境下因共享全局变量而导致的竞态条件,提高了并发安全性[^2]。 4. **与系统调用紧密结合** `errno` 与系统调用紧密集成,几乎所有的系统调用和 C 库函数都支持 `errno` 错误报告机制,这使得错误处理机制统一且高效。 ### 缺点 1. **非线程安全的旧实现问题** 在早期的多线程实现中,`errno` 曾是一个全局变量,多个线程同时访问可能导致错误码被覆盖,从而无法准确反映错误原因。虽然现代系统已通过 TLS 解决此问题,但旧代码或非标准实现仍可能存在此类风险[^2]。 2. **错误码语义模糊或重复** 某些错误码的语义够明确,或在同上下文中被复用,导致开发者难以准确判断错误原因。例如,`EIO`(输入/输出错误)可能表示多种底层硬件或驱动问题,缺乏具体信息。 3. **缺乏结构化错误信息** `errno` 仅提供整数错误码,缺乏结构化信息(如错误发生的具体模块、堆栈跟踪等),在复杂系统中难以满足高级调试需求。现代系统通常需要结合日志、堆栈追踪等工具进行辅助诊断。 4. **错误码扩展性受限** `errno` 的错误码数量有限,且新增错误码需要修改系统头文件并保持兼容性,限制了其扩展性。在某些复杂场景下,可能需要自定义错误码体系。 5. **错误码与函数返回值耦合** 多数系统调用通过返回 -1 并设置 `errno` 来报告错误,这种方式虽然简洁,但容易导致错误处理代码与正常流程混杂,影响代码可读性和维护性。 ### 示例代码:使用 `errno` 进行错误处理 ```c #include <stdio.h> #include <errno.h> #include <fcntl.h> int main() { int fd = open("nonexistent_file.txt", O_RDONLY); if (fd == -1) { perror("Open failed"); // 打印 errno 对应的错误信息 printf("errno value: %d\n", errno); } return 0; } ``` 输出示例(文件存在): ``` Open failed: No such file or directory errno value: 2 ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值