Linux系统丢包问题

背景

问题：vnc连接访问失败

最近在给Linux服务器安装vnc远程桌面管理时候，遇到一个问题，在浏览器中输入vnc访问之后（vnc://192.168.100.2:5902），提示连接失败。

问题分析

一般Linux协议栈丢包，有几个通用性的原因，rp_filter校验失败，防火墙丢包，conntrack 表满，eBPF / XDP / 安全模块拦截（较少见）等。vnc连接失败还可能存在一个原因就是vnc服务只监听 127.0.0.1。

排查只监听127.0.0.1，关闭rp_filter，flush了iptables，这些操作之后，发现问题还是不能解决。

在服务器上抓包，发现一个奇怪的点，只有client发过来的syn报文，服务器没有发送syn-ack 或者 rst报文，看着就像是静默丢包了。

在内核增加日志排查，抓包确认是否进入 INPUT 链
添加 LOG 规则

sudo iptables -I INPUT -p tcp --dport 5902 -j LOG --log-prefix "VNC-IN: "

查看日志

dmesg | tail -20

从日志看，报文进入到了INPUT链，这么看，syn报文，的确丢在了内核协议栈。

然后尝试其他端口访问，发现除了ssh的22端口，其他的端口都不能正常的访问，比较奇怪。

对比分析

这个环境是5.10内核的环境，我怀疑可能和高版本操作系统和内核有关系，于是找了一台4.19内核的服务器，发现4.19内核，不存在这个问题，那这么看，的确是新版的操作系统和内核引起的。

查找资料发现，5.10内核引入了firewalld这个工具，它是动态管理防火墙的前端工具，用于简化 Linux 系统的防火墙配置。

firewall-cmd --list-all public(active)target: default icmp-block-inversion: no interfaces: sources: services:sshports: protocols: forward: no masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

防火墙只放行了ssh，难怪只有ssh的22端口可以访问。
于是，创建vnc服务，并在firewall里面放行，vnc就可以正常访问了。

创建服务sudotee/etc/firewalld/services/xvnc-custom.xml<<EOF <?xml version="1.0" encoding="utf-8"?> <service> <short>Xvnc Custom</short> <description>VNC service for display :10 (port 5910)</description> <port protocol="tcp" port="5910"/> </service> EOF放行服务sudofirewall-cmd --permanent --add-service=xvnc-customsudofirewall-cmd --reload

firewall 和 iptables

┌──────────────┐ │ 应用层 │ ← 用户直接操作 ├──────────────┤ │ firewalld │ ← 高级策略管理（zone/service） ├──────────────┤ │ iptables │ ← 规则生成器（RHEL 7/8） │ 或 nftables │ ← 规则生成器（RHEL 9+） ├──────────────┤ │ netfilter │ ← Linux 内核防火墙框架 └──────────────┘

小结

一般来说，Linux服务器丢包，主要问题还是防火墙的问题，其次是多网卡场景rp_filter的问题，再是其他的问题。

附

VNC 是什么？

VNC = Virtual Network Computing（虚拟网络计算）

• 是一种 图形化远程桌面协议，允许你通过网络控制另一台计算机的桌面。
• 基于 RFB（Remote Framebuffer）协议，跨平台（Windows/Linux/macOS 通用）。
• 默认端口：5900 + N（例如 :1 → 5901，:2 → 5902）
  常见实现：
• TigerVNC（Linux 推荐）
• TightVNC
• RealVNC
• x11vnc
  用途：远程管理无显示器的服务器、图形界面调试等

vnc配置和其他问题

cat/root/.vnc/xstartup#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbinunsetSESSION_MANAGERunsetDBUS_SESSION_BUS_ADDRESSexec/usr/bin/gnome-session&

启动vncserver :2 -geometry 2560x1440 -depth 24 -localhost no报错

_XSERVTransSocketUNIXCreateListener:...SocketCreateListener()failed _XSERVTransMakeAllCOTSServerListeners: server already running(EE)Fatal server error:(EE)Cannot establish any listening sockets - Make sure an X server isn't already running(EE) _XSERVTransSocketUNIXCreateListener: ...SocketCreateListener() failed _XSERVTransMakeAllCOTSServerListeners: server already running (EE) Fatal server error: (EE) Cannot establish any listening sockets - Make sure an X server isn't already running(EE)

排查方法：ps aux | grep -E 'Xorg|Xvnc|Xwayland'可能存在其他程序运行，占用了端口。