我有一个关于具有两个 NIC 的 Linux 机器上的流量路由的问题。其中一个 NIC 在我们的 DMZ 网络 ( 10.1.9.0/24) 上,另一个在我们的本地网络 ( 10.1.0.0./21) 上:
default via `10.1.4.1` dev eth0
default via `10.1.9.1` dev eth1 metric 100
`10.1.0.0/21` dev eth0 proto kernel scope link src `10.1.0.132`
`10.1.9.0/24` dev eth1 proto kernel scope link src `10.1.9.25`
我们使用服务器作为网络代理。dmz 接口 (eth1) 从我们的外部 Internet 地址之一获取流量。所以在我们的主防火墙/路由器上存在一个 NAT 规则,它将请求转换为10.1.9.25. 这工作正常,请求被接受并响应。在这种情况下,连接在 eth1 上建立,响应也在 eth1 上。
问题:当我们想从本地网络内部访问网络服务器时,防火墙会将外部 ip 转换为 DMZ ip。可以从我们的本地网络中建立到 DMZ 服务器的连接,但反之则不行。在这种情况下,连接是从本地网络实例化到 DMZ,但网络服务器没有响应。
sudo tcpdump -i eth1 port 443 and src host 10.1.1.154
10:09:35.626450 IP 10.1.1.154.48870 > 10.1.9.25.https: Flags [S], seq 2491947547, win 14600, options [mss 1460,sackOK,TS val 2066949 ecr 0,nop,wscale 4], length 0
10:09:35.825619 IP 10.1.1.154.48871 > 10.1.9.25.https: Flags [S], seq 1827990665, win 14600, options [mss 1460,sackOK,TS val 2067011 ecr 0,nop,wscale 4], length 0
10:09:36.575239 IP 10.1.1.154.48870 > 10.1.9.25.https: Flags [S], seq 2491947547, win 14600, options [mss 1460,sackOK,TS val 2067199 ecr 0,nop,wscale 4], length 0
10:09:36.823264 IP 10.1.1.154.48871 > 10.1.9.25.https: Flags [S], seq 1827990665, win 14600, options [mss 1460,sackOK,TS val 2067261 ecr 0,nop,wscale 4], length 0
10:09:38.579373 IP 10.1.1.154.48870 > 10.1.9.25.https: Flags [S], seq 2491947547, win 14600, options [mss 1460,sackOK,TS val 2067700 ecr 0,nop,wscale 4], length 0
10:09:38.827290 IP 10.1.1.154.48871 > 10.1.9.25.https: Flags [S], seq 1827990665, win 14600, options [mss 1460,sackOK,TS val 2067762 ecr 0,nop,wscale 4], length 0
SSH 也是一样,接口接收连接,但没有响应。我不确定问题出在哪里(在服务器上或防火墙/路由器设置上)。我们在 DMZ 中有其他运行良好的服务器,这里的系统管理员说网络配置是相同的。
谁能帮我诊断这个问题?