LVS/DR tcp连接问题

假定部署了负载均衡设备VServer,同时部署了真实服务器real1, real2。pc使用访问VServer,VServer将通过DR将业务分发到real1上,real1直接回复到PC上。

这里假定pc使用的基于tcp连接的业务,pc发起的syn报文首先通过VServer分发到real1,real1回复syn+ack到pc,pc收到syn+ack再回复ack报文到VServer,由于VServer本身是一台防火墙设备,在经过严格的状态检测后(nf_conntrack_tcp_loose = 0),认为ack非法,导致直接丢包。如果关闭状态检测,是否会引入安全问题?

对于ipvs/dr,请问tcp连接的设计是如何考虑这样的实现的,谢谢!

Forums:

randomness