咋么做网站,上海app开发公司排名,美团网站做疏通广告,商业网站模板制作与开发情况描述
近期发现48网段主机无法访问8.83这个VIP#xff08;虚拟IP#xff09;#xff0c;环境是 8.83 绑定了两个LVS实例#xff0c;然后LVS实例转发到后端的nginx 静态资源#xff1b;整个流程是#xff0c;客户端发起对VIP的请求#xff0c;LVS将请求转发到后端实例…情况描述
近期发现48网段主机无法访问8.83这个VIP虚拟IP环境是 8.83 绑定了两个LVS实例然后LVS实例转发到后端的nginx 静态资源整个流程是客户端发起对VIP的请求LVS将请求转发到后端实例后端实例直接返回给客户端。
处理步骤
1、同网段端口不通考虑是否有主机层面防火墙检查是没有的
2、nmap扫描VIP的端口发现22、111正常80/443拦截考虑是否安全组限制检查发现并没有限制
Starting Nmap 6.40 ( http://nmap.org ) at 2024-04-26 10:09 CST
Nmap scan report for 1.1.8.83
Host is up (0.00018s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp filtered http
111/tcp open rpcbind
443/tcp filtered https
MAC Address: XX:XX:XX:XX:XX:XX (Unknown)
3、考虑后端端口是否正常尝试客户端直接访问后端端口发现正常可访问
此时直接访问VIP端口也能访问了这个就暂时无法理解过了一阵子又发生了这个情况
4、抓包对比没有访问过后端实例的请求与被拦截的请求因为已经可以访问了看不出来
5、突然想起来云网卡上有个源目的检测发现后端服务器云网卡有开启这个开关关闭后不再拦截
总结
这个情况属实是没想到默认开启的开关一时半会也没关联到这方面凑巧解决的应该是过了LVS后端云网卡认为源端应该是LVS而不是客户机然后发送报文被拦截了也可能是其他原因
看来问题不光出现在视野范围内啊 补充说明
以下内容是摘抄云网卡上对源目的检测的说明
为安全起见默认情况下“源/目的检查”的状态为“ON”系统会检查弹性云服务器发送的报文中源IP地址是否正确如果不正确则不允许发送该报文。通过该功能有助于防止伪装报文攻击提升安全性。 以下两种场景您需要通过设置“源/目的检查”状态为“OFF”禁用该功能以保证报文正常转发
1. 在SNAT场景下配置SNAT的弹性云服务器起转发作用这种保护机制会导致报文的发送者无法接收到返回的报文。
2. 在虚拟IP场景下绑定虚拟IP的弹性云服务器绑定的网卡需要发送源IP为虚拟IP的报文。
