我们最近在工作中完成了一次大规模的 IP 方案变更,从那时起我注意到了一些奇怪的事情。首先,我们的设置:
IPCop firewall which has
- Wireless network (completely segregated)
- Firewalled DMZ
- Internal network [eth0] (10.10.10.x)
- OpenVPN network [tun0] (172.16.20.x)
- Internet
在 IP 更改之前,我们的 OpenVPN 网络可以毫无问题地与内部网络通信。自从更改之后,我们有一些服务器不再愿意正常跨边界通信。
例如,我将使用 172.16.20.10 连接到 VPN,并尝试与 10.10.10.19 上的服务器通信。运行 tcpdump 后,我看到数据包离开我的机器(运行 wireshark),经过 tun0,经过 eth0,到达 10.10.10.19,但什么也没有返回。同一网络上的其他服务器运行正常(例如,10.10.10.8 运行正常),我无法找到它们之间的共同点,即导致某些服务器停止响应某些请求的原因。
我检查了诸如主机(允许|拒绝)、pf/iptables 等通常会过滤流量的东西,但它们都没有可以阻止此类流量的排除规则。
对于接下来该去哪里,您有什么想法吗?
解决方案
出现问题的盒子确实有被忽视的错误网关。在适当的地方做出更改,一切似乎都正常了!
答案1
10.10.10.19 上的默认或特定路由是否可能不正确? 在该机器上运行 wireshark 并重新执行测试以查看返回数据包的情况似乎是一个有趣的测试。