我有一个双 Linux 防火墙/路由器设置,连接到 2 个不同的上游提供商。内部默认路由是使用 vrrp 的故障转移。
设置看起来类似这样。路由通过 BGP 提供给路由器。
Provider A (x.x.x.57) - Router 1 [WAN](x.x.x.58) [LAN](a.a.a.130/128)
+----- VRRP (a.a.a.129/128) [default gw]
Provider B (y.y.y.61) - Router 2 [WAN](y.y.y.62) [LAN](a.a.a.131/128)
总体来说一切运行正常。
但是,我注意到,当路由器 1 是 VRRP 的主路由器时,无法从通过提供商 A 路由的客户端 ping aaa131。同样,如果路由器 2 是主路由器,我们无法 ping aaa130。我也无法 ssh 到该地址。但是,我可以随时 ssh 或 ping 两个路由器的 WAN 端。既然当路由器 1 是主路由器并且转发已打开时我可以访问路由器 2 的 WAN 接口,那么当路由器不是主路由器时,为什么我不能直接访问同一路由器的 LAN 端?
是什么原因造成这样的呢?
答案1
回答我自己的问题。我发现以下有关反向路径过滤的链接非常有用。按照它的建议,我设法解决了我遇到的问题。