A ping B = 正常,B ping A = 目标主机不可达,防火墙关闭

tag-icon tag-icon networking
A ping B = 正常,B ping A = 目标主机不可达,防火墙关闭

嗨,我不是系统管理员,但我有两个 FC11 盒子,在断路器跳闸后(其他地方过载 - 已修复)表现异常。A 可以 ping B,但当 B(或网络上的任何其他节点)ping AI 时,会收到“目标主机无法访问”的信息。

所有节点都通过托管的 L2 交换机连接,因此从 A 到 B 只需简单的 A---交换机---B。

为了进行此测试,B 上的防火墙已经关闭(在此之前,它确实允许 ICMP 入站,并且在电路跳闸之前它工作正常)。

不仅在 B 上 ping 不通,我也无法通过 SSH 连接到 B。

B 配置为软件 RAID 1,我确实检查了阵列,电源恢复后它似乎没问题

值得注意的历史:当我重置 CB 后重新启动时,登录屏幕花了很长时间才出现,有很多 HD 活动,启动后它只显示“其他”作为有效用户,我的正常帐户没有列出。重新启动后它重新出现,启动速度恢复正常,但我无法访问任何服务或 ping B。

我不是系统管理员,所以除了显而易见的(防火墙、网络连接、测试其他客户端、重启计算机、SMART 属性 OK)之外,我不知道从哪里开始寻找

如果有人能建议我应该从哪里开始寻找我将不胜感激。

编辑:

解决了!感谢 Wayne 的列表,我找到了罪魁祸首,L2 管理交换机配置已损坏(我不知道怎么回事?!)我在不同的客户端之间切换了端口并确认了这一点。

它损坏得非常严重,我不得不使用串行电缆 + minicom 来重置它。它删除了除我没有连接的 IP 之外的所有受信任主机(因此我无法通过 telnet/web 进入它),并决定以单向方式阻止 A/B 端口之间的流量。找到并修复它是一次相当令人沮丧(但很有教育意义)的经历!我从来没有想到托管交换机能够做到这一点。

这是 D-link DES-3000 系列交换机。我现在想知道这是否是由于电涌引起的意外事件,或者交换机是否以其他方式损坏了……您有什么想法吗?我应该更换它吗?

答案1

让我们首先找出问题所在。

  1. 登录B后是否可以访问B上所需的服务?
    1. 您需要从备份中恢复,因为操作系统似乎已损坏
  2. 登录A后是否可以访问A上所需的服务?
    1. 您需要从备份中恢复,因为操作系统似乎已损坏
  3. 您能否刷新并重置 A 上的 iptables 规则以确保防火墙没有损坏:iptables -X && iptables -F
  4. 您能尝试从 B 访问 A 上的服务吗?
  5. 您可以使用 B 上的 telnet 来 telnet 到 A 上的服务端口吗?例如:telnet A 80 或 telnet A 25
  6. 您能否刷新并重置 B 上的 iptables 规则以确保防火墙没有损坏:iptables -X && iptables -F
  7. 您能尝试从 A 访问 B 上的服务吗?
  8. 您可以使用 A 上的 telnet 来 telnet 到 B 上的服务端口吗?例如:telnet B 80 或 telnet B 25
  9. 您能重新启动 A 上的防火墙并从 B 重新测试吗?
  10. 您可以重新启动 B 上的防火墙,然后从 B 重新测试吗?

有了这些问题的答案,我们就可以开始推断问题所在,但目前,这仅仅是猜测,没有真正的分析和数据来协助找出问题的原因。

另外值得注意的是:

  1. 您是否已确认您的交换机正常?
  2. 您是否尝试过在这个交换机上安装其他机器?
  3. 您尝试过其他端口吗?
  4. 您是否已验证交换机的配置?

答案2

Wayne 的列表非常全面,但如果您可以忍受停机/中断,您可能还需要更换连接 A 和 B 到交换机的电缆;我亲眼见过电缆在断电后出现故障,尽管电缆两端的设备仍然正常。如果您身边有备用交换机(甚至集线器),您可以暂时用它来替换方程中的交换机;如果此后一切恢复正常,您就知道问题出在哪里了。

答案3

A 可以 ping B,但 B 无法 ping A,这很奇怪。一些问题:

  1. 所有有问题的机器是否都拥有一张网卡,并且每张网卡都连接到 L2 交换机?
  2. 您是通过名称还是通过 IP 进行 ping ?
  3. 当您 ping 操作(两个方向)时,目标主机的有效 ARP 条目是否出现在源主机的路由表中?
  4. 您是否登录了交换机?如果登录了,您能否确认所有相关端口均位于正确的 VLAN 中?

如果一定要我猜的话,我怀疑主机 A 有两个 NIC,它们有两个不同的 IP,并且它的默认接口与其他主机用来 ping 它的接口不同。但这纯粹是猜测;您能提供主机 A 的“ifconfig -a”和“netstat -rnv”的输出吗?

答案4

当您连接路由器并在使用 NAT 的现有操作系统中使用虚拟机时也会发生这种情况,因为 NAT 会根据已创建的 IP 地址创建进一步的私有 IP 地址。

因此,当您尝试 ping 连接到同一路由器的机器时,将可以 ping 通,而当您尝试从连接到此路由器的任何机器 ping 此虚拟机时,将无法 ping 通

因为

在这种情况下,你的虚拟机所在的机器就像一个路由器,它的子进程(虚拟机)从内部发出的每个 ping 请求都可以出去,而其他客户端连接到路由器来 ping 你的虚拟机的每个 ping 请求都会失败,因为这需要一个连接。所以你需要做一个如果您遇到同样的问题,则虚拟机中的连接不会进一步创建现有私有 IP 的私有 IP,而是创建一个新的私有 IP

例子

假设有两台机器连接同一个路由器,有一个ip

A= 192.168.2.1(虚拟机安装)

192.168.2.2 邮箱

然后在机器 A 中使用 Bridge 后虚拟机将获得一个 IP 地址

电话=192.168.2.3

因此,所有连接到同一路由器的机器以及这台机器都可以 ping 通。

相关内容