Linux

使用 Linux 網關無法訪問一些網站

  • August 13, 2016

我們有一個 LAN 和一個 Linux Box 用作 Internet 網關。在這個網關上,我們安裝了內網郵件伺服器(sendmail)、fetchmail、代理和DNS。租用線路連接到此網關,並在此框上配置靜態 IP。

對於爆炸 10-15 天,已經註意到一些網站根本無法執行。如果我將相同的連接和 IP 配置到獨立的 Windows PC,則可以毫無問題地訪問所有這些網站。

我無法瀏覽一些網站,也無法 ping 它們,但我可以使用 nslookup 解析地址。

我的區域網路配置如下:

如果配置:

enp2s0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
       inet 192.168.1.41  netmask 255.255.255.0  broadcast 192.168.1.255
       inet6 fe80::52e5:49ff:fe1b:daa8  prefixlen 64  scopeid 0x20<link>
       ether 00:00:00:00:00:00  txqueuelen 1000  (Ethernet)
       RX packets 67331121  bytes 8458827280 (7.8 GiB)
       RX errors 0  dropped 2138  overruns 0  frame 0
       TX packets 66307928  bytes 58607952676 (54.5 GiB)
       TX errors 0  dropped 0 overruns 0  carrier 1  collisions 0

enp4s1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
       inet XX.XXX.XXXX.XX  netmask 255.0.0.0  broadcast 49.255.255.255
       ether 00:00:00:00:00:00  txqueuelen 1000  (Ethernet)
       RX packets 66015747  bytes 58276418282 (54.2 GiB)
       RX errors 0  dropped 100  overruns 0  frame 0
       TX packets 53457822  bytes 7049917031 (6.5 GiB)
       TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

/etc/resolve.conf

nameserver 8.8.8.8
nameserver 192.168.1.41

iptables

# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*filter
:INPUT ACCEPT [6409479:525988637]
:FORWARD ACCEPT [26036553:16397355271]
:OUTPUT ACCEPT [6914932:970229461]
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
COMMIT
# Completed on Fri Aug 12 10:18:54 2016
# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*nat
:PREROUTING ACCEPT [1480942:133895346]
:INPUT ACCEPT [179896:21387703]
:OUTPUT ACCEPT [82634:5613521]
:POSTROUTING ACCEPT [231368:13257122]
-A PREROUTING -d XX.XXX.XXX.XX/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.250
-A POSTROUTING -s 192.168.1.132/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.127/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.188/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.199/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.20/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.233/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.77/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.134/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.113/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.19/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.20/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.197/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.198/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.9/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.5/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.119/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.1/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.98/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.182/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.40/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.134/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.98/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.177/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.1.89/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.1.129/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.66/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.250/32 -j MASQUERADE
COMMIT
# Completed on Fri Aug 12 10:18:54 2016
# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*mangle
:PREROUTING ACCEPT [33387672:17017857834]
:INPUT ACCEPT [6409479:525988637]
:FORWARD ACCEPT [26036554:16397355355]
:OUTPUT ACCEPT [6914932:970229461]
:POSTROUTING ACCEPT [32955572:17367734827]
COMMIT
# Completed on Fri Aug 12 10:18:54 2016

我應該如何找到阻止這些連接的原因?我還應該在 Linux 框中檢查什麼?有人可以給出解決問題的提示嗎?還有什麼我應該在這裡提到的嗎?提前致謝。

enp4s1 (WAN) 介面上的網路遮罩錯誤。

此系統已配置 IP 地址 49.xxx 和網路遮罩 255.0.0.0(前綴 /8)。但這不是您的 ISP 給您的網路遮罩。

因此,您將無法訪問幾乎所有 IP 地址也以 49 開頭的網站。

要解決此問題,請修復網路配置中的網路遮罩或前綴聲明。我希望正確的前綴位於 27、28 或 29 附近,具體取決於 ISP。

引用自:https://serverfault.com/questions/796394

相關問答

Linux

您如何在充當路由器的機器上管理 Linux iptables 配置?

  • June 30, 2020
檢視問答
Local-Area-Network

通過雙 WAN 路由器中的 WAN2 隧道 SSH 和數據庫埠

  • April 5, 2019
檢視問答
Linux

允許 docker 容器使用容器作為網關與 Internet 通信

  • August 31, 2018
檢視問答
Linux

防火牆/路由器上的 SELinux 和 iptables

  • December 2, 2015
檢視問答
Networking

使用網關限制區域網路的部分客戶端系統訪問少數網站

  • December 12, 2014
檢視問答
Linux

Linux網關:一張網卡如何從一個子網偽裝到另一個子網

  • January 29, 2013
檢視問答