Мы запускаем Debian с ядром 2.6.16 с включенным iptables. В системе работает специальный HTTP-прокси, который подвергается небольшой нагрузке (он отлично работает при той же нагрузке на других сайтах). Система состоит из 4 серверов, которым предшествует балансировщик нагрузки с виртуальным IP-адресом, которому предшествует массив из 4 машин ISA 2004, поэтому базовая топология:
Клиент -> ISA [1-4] -> Балансировщик нагрузки -> Наш прокси [1-4] -> Интернет
Иногда ISA отправляет нам пакет SYN, на который не отправляется SYN-ACK. Он попытается снова через 3 секунды и в третий раз через еще 6 секунд, после чего он сообщит о прокси-сервере и переключится на прямое соединение. В течение этого времени, то есть до, между и после этих 3 SYN, приходят другие SYN из того же ISA и на них успешно получен ответ.
Другие пользователи сообщают об очень похожей проблеме (однако решения не найдено):
Все это происходит от разновидности Linux под названием CentOS. Особенность заключается в том, что iptables включен по умолчанию.
http://www.linuxhelpforum.com/showthread.php?t=931912&mode=linear
http://www.centos.org/modules/newbb/viewtopic.php?topic_id=16147
Почти то же самое, но немного другое:
http://www.linuxquestions.org/questions/linux-networking-3/tcp-handshake-fails-synack-ignored-by-system.-637171/
Также представляется актуальным:
http://groups.google.com/group/comp.os.linux.networking/browse_thread/thread/b1c000e2d65e0034
Я подозреваю, что iptables является виновником, но любые дополнительные отзывы будут приветствоваться.