問題背景如下：

為建甌等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及建甌網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、成都網(wǎng)站設(shè)計、建甌網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

1,公司內(nèi)網(wǎng)到某機房公網(wǎng)不通（ping，traceroute，curl都不行）

2,在某機房此公網(wǎng)的機器到公司內(nèi)網(wǎng)也不通（ping，traceroute，curl都不行）

3,但是某機房此公網(wǎng)哪個的機器可以通過網(wǎng)關(guān)通外網(wǎng)，并且外網(wǎng)環(huán)境也能訪問某機房公網(wǎng)ip，只有公司內(nèi)網(wǎng)到這些ip不同。

4,公司內(nèi)網(wǎng)到其它幾個機房的公網(wǎng)都沒問題

公司內(nèi)網(wǎng)到某機房公網(wǎng)不通的traceroute結(jié)果：

$ traceroute x.x.x.x
traceroute  to x.x.x.x (x.x.x.x), 30 hops max, 60 byte  packets
 1 * * *
 2 10.x.253.1  (10.x.253.1) 7.092 ms 7.388 ms 7.384 ms
 3  10.x.2.2 (10.x.2.2) 7.372 ms 7.615 ms 8.347  ms
 4 10.x.1.2 (10.x.1.2) 7.595 ms 8.335  ms 8.331 ms
 5  192.x.168.254  (192.x.168.254) 8.879 ms 9.325 ms 10.077  ms
 6 * * *
 ......

30 * * *

公司內(nèi)網(wǎng)到其它機房公網(wǎng)正常的traceroute結(jié)果：

$ traceroute xx.xx.xx.xx
traceroute  toxx.xx.xx.xx (xx.xx.xx.xx), 30 hops max, 60 byte  packets
 1 * * *
 2 10.x.253.1  (10.x.253.1) 7.092 ms 7.388 ms 7.384 ms
 3  10.x.2.2 (10.x.2.2) 7.372 ms 7.615 ms 8.347  ms
 4 10.x.1.2 (10.x.1.2) 7.595 ms 8.335  ms 8.331 ms

 5  * * *

 6  111.111.111.111  (111.111.111.111) 8.879 ms 9.325 ms 10.077  ms
 7  * * *

 8 xx.xx.xx.xx

問題分析解決步驟：（發(fā)現(xiàn)這個問題之后，感覺和奇怪，雖然不影響服務(wù)，但是好奇心還是驅(qū)使著想把問題搞清楚）

一，分析了一下某機房機器的路由，都正常沒有發(fā)現(xiàn)異常

二，我測試了某機房和其它機房之間的網(wǎng)絡(luò)，外網(wǎng)到某機房的網(wǎng)絡(luò)都是正常的。第一個懷疑對象就是覺得公司內(nèi)網(wǎng)有限制，因為看traceroute結(jié)果，數(shù)據(jù)包還沒有出公司內(nèi)網(wǎng)。所以，就和公司IT部門排查了一番，發(fā)現(xiàn)并沒有任何限制

三，然后，懷疑公司機房是否有相關(guān)限制呢。所以，又找網(wǎng)絡(luò)組查了一番，結(jié)果仍然是沒有任何限制

四，排除外部因素之后，就懷疑可能是系統(tǒng)有問題了。并且，通過在某機房的外網(wǎng)機器上抓包能抓到公司內(nèi)網(wǎng)送達的traceroute包，只是某機房的機器沒有回復數(shù)據(jù)包，那就更確定是系統(tǒng)本身的問題了。通過強大的google發(fā)現(xiàn)了rp_filter這個參數(shù)導致了這個問題，因為我們某機房機器此參數(shù)為1.

rp_filter參數(shù)的作用：

rp_filter - INTEGER
	0 - No source validation.
	1 - Strict mode as defined in RFC3704 Strict Reverse Path
	    Each incoming packet is tested against the FIB and if the interface
	    is not the best reverse path the packet check will fail.
	    By default failed packets are discarded.
	2 - Loose mode as defined in RFC3704 Loose Reverse Path
	    Each incoming packet's source address is also tested against the FIB
	    and if the source address is not reachable via any interface
	    the packet check will fail.

	Current recommended practice in RFC3704 is to enable strict mode
	to prevent IP spoofing from DDos attacks. If using asymmetric routing
	or other complicated routing, then loose mode is recommended.

	The max value from conf/{all,interface}/rp_filter is used
	when doing source validation on the {interface}.

	Default value is 0. Note that some distributions enable it
	in startup scripts.

置為1的作用為：數(shù)據(jù)包從哪個網(wǎng)口進來從哪個網(wǎng)口出去，如果不匹配 丟棄。

結(jié)論：

公司內(nèi)網(wǎng)到某機房機器的request數(shù)據(jù)包從公網(wǎng)網(wǎng)卡進入，而reply的數(shù)據(jù)包根據(jù)機器的路由規(guī)則則從某機房機器的內(nèi)網(wǎng)網(wǎng)卡流出。而某機房機器rp_filter為1,從而導致數(shù)據(jù)包被系統(tǒng)丟棄。而rp_filter這個參數(shù)默認是0,由于歷史原因被調(diào)整成了1,我們重新把管理的所有機器都調(diào)整為了默認值以解決類似問題。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章名稱：rp_filter導致的網(wǎng)絡(luò)異常-創(chuàng)新互聯(lián)
當前路徑：http://www.aaarwkj.com/article38/pgpsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、用戶體驗、關(guān)鍵詞優(yōu)化、Google、品牌網(wǎng)站制作、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)