我遇到一个问题,即在非常特殊的情况下,私人网络流量不会被伪装。
该网络是一组使用10.1.0.0/18网络的 VMware 客户机。
有问题的主机是10.1.4.20 255.255.192.0,它配置使用的唯一网关是10.1.63.254。网关服务器37.59.245.59应该伪装所有出站流量并通过 转发37.59.245.62,但由于某种原因,10.1.4.20最终偶尔会37.59.245.62在路由缓存中出现 。
ip -s route show cache 199.16.156.40
199.16.156.40 from 10.1.4.20 via 37.59.245.62 dev eth0
cache used 149 age 17sec ipid 0x9e49
199.16.156.40 via 37.59.245.62 dev eth0 src 10.1.4.20
cache used 119 age 11sec ipid 0x9e49
ip route flush cache 199.16.156.40
ping api.twitter.com
PING api.twitter.com (199.16.156.40) 56(84) bytes of data.
64 bytes from 199.16.156.40: icmp_req=1 ttl=247 time=93.4 ms
ip -s route show cache 199.16.156.40
199.16.156.40 from 10.1.4.20 via 10.1.63.254 dev eth0
cache age 3sec
199.16.156.40 via 10.1.63.254 dev eth0 src 10.1.4.20
cache used 2 age 2sec
问题是,为什么我在私有网络的路由缓存中看到公共 IP 地址?
应用服务器的网络信息(不含 lo):
ip a
eth0 Link encap:Ethernet HWaddr 00:50:56:a4:48:20
inet addr:10.1.4.20 Bcast:10.1.63.255 Mask:255.255.192.0
inet6 addr: fe80::250:56ff:fea4:4820/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1523222895 errors:0 dropped:407 overruns:0 frame:0
TX packets:1444207934 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1524116772058 (1.5 TB) TX bytes:565691877505 (565.6 GB)
VPN 网关的网络信息(不含 lo):
eth0 Link encap:Ethernet HWaddr 00:50:56:a4:56:e9
inet addr:37.59.245.59 Bcast:37.59.245.63 Mask:255.255.255.192
inet6 addr: fe80::250:56ff:fea4:56e9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7030472688 errors:0 dropped:1802 overruns:0 frame:0
TX packets:6959026084 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7777330931859 (7.7 TB) TX bytes:7482143729162 (7.4 TB)
eth0:0 Link encap:Ethernet HWaddr 00:50:56:a4:56:e9
inet addr:10.1.63.254 Bcast:10.1.63.255 Mask:255.255.192.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
eth0:1 Link encap:Ethernet HWaddr 00:50:56:a4:56:e9
inet addr:10.1.127.254 Bcast:10.1.127.255 Mask:255.255.192.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.1.1 P-t-P:10.8.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:477047415 errors:0 dropped:0 overruns:0 frame:0
TX packets:833650386 errors:0 dropped:101834 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:89948688258 (89.9 GB) TX bytes:1050533566879 (1.0 TB)
eth0 通向外界,tun0 通向应用服务器所在的虚拟机的 openvpn 网络。
ip r对于 VPN 网关:
default via 37.59.245.62 dev eth0 metric 100
10.1.0.0/18 dev eth0 proto kernel scope link src 10.1.63.254
10.1.64.0/18 dev eth0 proto kernel scope link src 10.1.127.254
10.8.1.0/24 via 10.8.1.2 dev tun0
10.8.1.2 dev tun0 proto kernel scope link src 10.8.1.1
10.9.0.0/28 via 10.8.1.2 dev tun0
37.59.245.0/26 dev eth0 proto kernel scope link src 37.59.245.59
ip r在应用服务器上:
default via 10.1.63.254 dev eth0 metric 100
10.1.0.0/18 dev eth0 proto kernel scope link src 10.1.4.20
防火墙规则:
Chain PREROUTING (policy ACCEPT 380M packets, 400G bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 127M packets, 9401M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1876K packets, 137M bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 223M packets, 389G bytes)
pkts bytes target prot opt in out source destination
32M 1921M MASQUERADE all -- * eth0 10.1.0.0/17 0.0.0.0/0
答案1
不幸的是,您看到的大部分情况是由于外部路由器之间的路由问题造成的,它们动态获取并更新其路由信息,以帮助绕过有问题的区域,但当这些路由经常更改时(通常由于可用性),这被称为路由抖动。这会反映到您身上,通常最终用户看不到任何这些情况。
您可以尝试禁用路线缓存,如下所述这里(请注意警告,这似乎没有什么好处),但我认为你最好只是与本地的网络管理员交谈,因为他们的路由似乎非常不稳定。
我当然假设你不负责网络管理。
答案2
让某人或您自己查看 10.1.4.20 处的路由器/L3 设备。看起来它可能正在从上游对等体接收不良路由,然后这些路由被撤回并重新通告。
答案3
我问过这个别的地方,事实证明解决方案是关闭 ICMP 重定向。