Tham gia Đăng nhập
Điểm:0
avatar Server

Máy chủ không chuyển tiếp lưu lượng

lá cờ cn
Charm_quark

Tôi đang sử dụng DO để lưu trữ máy chủ Sản xuất của mình. Tôi hiện đang xây dựng DR env và gặp sự cố với lưu lượng chuyển tiếp. Tôi đã sử dụng cùng một loại cấu hình từ env Sản xuất và nó hoạt động tốt (tôi thậm chí đã cố sao chép VM thay đổi IP và gặp sự cố tương tự như cài đặt mới) Máy chủ nhận các gói trên eth1, nhưng không gửi nó đi. (như được cho là trên eth0, qua chính sách IPsec)

Thông tin máy chủ DR-VPN bên dưới (Xin lưu ý rằng dữ liệu đã được khử trùng)

user@vpn-DR:~# ip a
eth0: 20,99,90,5/20
eth1: 10.10.0.2/20

user@vpn-DR:~# trạng thái ipsec
Hiệp hội bảo mật (1 lên, 0 kết nối):
vpn-to-DR[1]: ĐƯỢC THÀNH LẬP 46 phút trước, 20.99.90.5[20.99.90.5]...x1.xx3.x.xx4[x1.xx3.x.xx4]
vpn-to-env{1}: ĐÃ CÀI ĐẶT, TUNNEL, reqid 1, ESP SPI: c0ac5230_i 0b8674b3_o
vpn-to-env{1}: 10.10.0.3/32 === x1.xx3.x.x9/32

Đây là các cài đặt iptable

ser@vpn-DR:~# iptables-save
*lọc
:CHẤP NHẬN ĐẦU VÀO [3881983:1293276786]
:CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [3858285:672322166]
-A FORWARD -s 10.10.0.0/16 -d x1.xx3.x.x9/32 -i eth0 -m policy --dir in --pol ipsec --proto esp -j CHẤP NHẬN
-A FORWARD -s x1.xx3.x.x9/32 -d 10.10.0.0/16 -o eth0 -m policy --dir out --pol ipsec --proto esp -j CHẤP NHẬN
-A PHÍA TRƯỚC -s 10.10.0.0/16 -i eth1 -j CHẤP NHẬN
-A FORWARD -d 10.10.0.0/16 -o eth1 -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
LÀM
* tự nhiên
: CHẤP NHẬN TRƯỚC [1266750:71807552]
:CHẤP NHẬN ĐẦU VÀO [1259384:71241122]
:CHẤP NHẬN ĐẦU RA [38114:4106963]
: SAU CHẤP NHẬN [38115:4107047]
-A POSTROUTING -m policy --dir out --pol ipsec -j CHẤP NHẬN
-A POSTROUTING -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 10.10.0.0/16 ! -d 10.10.0.0/16 -p tcp -j MẶT MẠO
-A POSTROUTING -s 10.10.0.0/16 -o eth1 -j MASQUERADE

Tôi đã cấu hình nó để chuyển tiếp

Sudo sysctl -a | grep net.ipv4.conf.*.forwarding
net.ipv4.conf.all.bc_forwarding = 0
net.ipv4.conf.all.chuyển tiếp = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.bc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.eth0.bc_forwarding = 0
net.ipv4.conf.eth0.chuyển tiếp = 1
net.ipv4.conf.eth0.mc_forwarding = 0
net.ipv4.conf.eth1.bc_forwarding = 0
net.ipv4.conf.eth1.chuyển tiếp = 1
net.ipv4.conf.eth1.mc_forwarding = 0
net.ipv4.conf.lo.bc_forwarding = 0
net.ipv4.conf.lo.chuyển tiếp = 1
net.ipv4.conf.lo.mc_forwarding = 0

Thông tin bổ sung bằng cách theo dõi trên IPtables

########## sản lượng
[6814683.211912] TRACE: raw:PREROUTING:policy:2 IN=eth1 OUT= MAC=52:68:7d SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.211979] TRACE: nat:PREROUTING:policy:1 IN=eth1 OUT= MAC=52:68:7d SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.212037] TRACE: filter:FORWARD:rule:3 IN=eth1 OUT=eth0 MAC=52:68: SRC=10.13.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=30853 DF PROTO=ICMP TYPE=8 CODE=0 ID=19134 SEQ=1
[6814683.212053] TRACE: nat:POSTROUTING:rule:1 IN= OUT=eth0 SRC=10.132.0.4 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=30853 DF PROTO=ICMP LOẠI=8 MÃ=0 ID=19134 SEQ=1

root@VPN_PROD:~# iptables -L -t nat --line-numbers -n
PREROUTING chuỗi (CHẤP NHẬN chính sách)
num target prot opt ​​source đích
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
Chuỗi POSTROUTING (CHẤP NHẬN chính sách)
num target prot opt ​​source đích
1 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 so khớp chính sách dir out pol ipsec
2 MASQUERADE tcp -- 10.13.0.0/16 !10.13.0.0/16 cổng masq: 1024-65535
3 MASQUERADE udp -- 10.13.0.0/16 !10.13.0.0/16 cổng masq: 1024-65535
4 Tcp GIẢ MẠO -- 10.13.0.0/16 !10.13.0.0/16
5 MẶT MẠO tất cả -- 10.13.0.0/16 0.0.0.0/0

root@VPN_PROD:~# iptables -L -t filter --line-numbers -n
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
Chuỗi FORWARD (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
1 CHẤP NHẬN tất cả -- 10.13.0.0/16 x1.xx3.0.0/16 so khớp chính sách dir trong pol ipsec proto 50
2 CHẤP NHẬN tất cả -- x1.xx3.0.0/16 10.13.0.0/16 so khớp chính sách dir out pol ipsec proto 50
3 CHẤP NHẬN tất cả -- 10.13.0.0/16 0.0.0.0/0
4 CHẤP NHẬN tất cả -- 0.0.0.0/0 10.13.0.0/16 trạng thái LIÊN QUAN, ĐÃ THÀNH LẬP

ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
root@VPN_PROD:~#

và Dấu vết từ DR

######## DR
[ 3152.620125] TRACE: raw:PREROUTING:policy:2 IN=eth1 OUT= MAC=c2:62:51: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL= 64 ID=31401 DF PROTO=ICMP LOẠI=8 MÃ=0 ID=71 SEQ=1
[ 3152.620202] TRACE: nat:PREROUTING:policy:1 IN=eth1 OUT= MAC=c2:62:51: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL= 64 ID=31401 DF PROTO=ICMP LOẠI=8 MÃ=0 ID=71 SEQ=1
[ 3152.620265] TRACE: filter:FORWARD:policy:1 IN=eth1 OUT=eth0 MAC=c2:6251: SRC=10.10.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=31401 DF PROTO=ICMP TYPE=8 CODE=0 ID=71 SEQ=1
[ 3152.620283] TRACE: nat:POSTROUTING:rule:1 IN= OUT=eth0 SRC=10.108.0.3 DST=x1.xx3.x.x9 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=31401 DF PROTO=ICMP LOẠI=8 MÃ=0 ID=71 SEQ=1
root@vpn-DR:~# iptables -L -t nat --line-numbers -n
PREROUTING chuỗi (CHẤP NHẬN chính sách)
num target prot opt ​​source đích
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
Chuỗi POSTROUTING (CHẤP NHẬN chính sách)
num target prot opt ​​source đích
1 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 so khớp chính sách dir out pol ipsec
2 MASQUERADE tcp -- 10.10.0.0/20 !10.10.0.0/20 cổng masq: 1024-65535
3 MASQUERADE udp -- 10.10.0.0/20 !10.10.0.0/20 cổng masq: 1024-65535
4 GIẢ MẠO tất cả -- 10.10.0.0/20 0.0.0.0/0

root@vpn-DR:~# iptables -L -t filter --line-numbers -n
ĐẦU VÀO chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
Chuỗi FORWARD (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
1 CHẤP NHẬN tất cả -- 10.10.0.0/20 x1.xx3.0.0/16 so khớp chính sách dir trong pol ipsec proto 50
2 CHẤP NHẬN tất cả -- x1.xx3.0.0/16 10.10.0.0/20 so khớp chính sách dir out pol ipsec proto 50
3 CHẤP NHẬN tất cả -- 10.10.0.0/20 0.0.0.0/0
4 CHẤP NHẬN tất cả -- 0.0.0.0/0 10.10.0.0/20 trạng thái LIÊN QUAN, ĐÃ THÀNH LẬP
ĐẦU RA chuỗi (chính sách CHẤP NHẬN)
num target prot opt ​​source đích
42
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.