<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#ffffff" text="#000000">
    On 17.05.2011 18:19, Herman wrote:
    <blockquote cite="mid:1305649141.7761.1131.camel@mint1" type="cite">
      <meta http-equiv="Context-Type" content="text/html; charset=utf-8">
      <br>
      I made a change to IPTables, and did a "service iptables restart",
      and next thing I knew, I had a split brain.<br>
    </blockquote>
    <br>
    I would guess that  the RHEL FW setup flushes the connection
    tracking tables and has a default drop (or reject) rule.<br>
    <br>
     This would cause DRBDs TCP connections to time out eventually.
    Also, neither OCFS nor DLM react kindly when their communication
    link goes down.<br>
    <br>
    Try to keep the FW setup from unloading the "nf_conntrack" module or
    otherwise fiddle with connection tracking. This should prevent any
    harm in the FW restart case. <br>
    <br>
    In addaditon, if you expect any prolonged FW downtime to happen (for
    example: FW stop, explain situation to your boss, FW start), you may
    also like the usual "stateful accept" rule<br>
    <br>
     iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>
    <br>
    to be present during the FW downtime.<br>
    <br>
    <br>
  </body>
</html>