今天辦了一件暈事，主機之間做ping用tcpdump抓到了ping request，但是沒有看到ping reply，查看主機的arp表，路由表都沒有問題，忘記看iptables的規(guī)則。雖然在tcpdump看到包，只是代表包到了二層，并不能保證包到了三層。
下次需要注意。
可以通過下面這個命令查看 reject的統(tǒng)計信息。
iptables -nvx -L [Chain] /ip6tables -nvx -L [Chain]

-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
需要特別注意的是上面這條規(guī)則，不是針對tcp的，是任何雙向的交互，比如icmp。
這個規(guī)則的結果就是主動做的ping可以成功。而從外部來的ping request卻會失敗。

而且需要注意dpdk可能產(chǎn)生的影響。