Question Quelques sites Web ne sont pas accessibles via la passerelle Linux


Nous avons un réseau local et une machine Linux est utilisée comme passerelle Internet. Sur cette passerelle, nous avons installé un serveur de messagerie intranet (sendmail), fetchmail, proxy et DNS. Une ligne louée est connectée à cette passerelle et une adresse IP statique est configurée sur cette boîte.

Pour theblast 10-15 jours, il a été remarqué que quelques sites Web ne fonctionnaient pas du tout. Si je configure cette même connexion et IP sur un PC Windows autonome, tous ces sites Web sont accessibles sans aucun problème.

Je ne peux pas naviguer sur quelques sites et je ne peux pas les cingler, mais je peux résoudre les adresses à l'aide de nslookup.

Ma configuration LAN est la suivante:

ifconfig:

enp2s0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet 192.168.1.41  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::52e5:49ff:fe1b:daa8  prefixlen 64  scopeid 0x20<link>
        ether 00:00:00:00:00:00  txqueuelen 1000  (Ethernet)
        RX packets 67331121  bytes 8458827280 (7.8 GiB)
        RX errors 0  dropped 2138  overruns 0  frame 0
        TX packets 66307928  bytes 58607952676 (54.5 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 1  collisions 0

enp4s1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XXX.XXXX.XX  netmask 255.0.0.0  broadcast 49.255.255.255
        ether 00:00:00:00:00:00  txqueuelen 1000  (Ethernet)
        RX packets 66015747  bytes 58276418282 (54.2 GiB)
        RX errors 0  dropped 100  overruns 0  frame 0
        TX packets 53457822  bytes 7049917031 (6.5 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

/etc/resolve.conf

nameserver 8.8.8.8
nameserver 192.168.1.41

iptables

# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*filter
:INPUT ACCEPT [6409479:525988637]
:FORWARD ACCEPT [26036553:16397355271]
:OUTPUT ACCEPT [6914932:970229461]
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
COMMIT
# Completed on Fri Aug 12 10:18:54 2016
# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*nat
:PREROUTING ACCEPT [1480942:133895346]
:INPUT ACCEPT [179896:21387703]
:OUTPUT ACCEPT [82634:5613521]
:POSTROUTING ACCEPT [231368:13257122]
-A PREROUTING -d XX.XXX.XXX.XX/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.250
-A POSTROUTING -s 192.168.1.132/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.127/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.188/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.199/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.20/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.233/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.77/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.134/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.113/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.19/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.20/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.197/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.198/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.9/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.5/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.119/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.1/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.98/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.182/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.40/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.134/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.181/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.98/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.177/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.1.89/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 192.168.1.129/32 -p tcp -m tcp --dport 21 -j MASQUERADE
-A POSTROUTING -s 192.168.1.66/32 -j MASQUERADE
-A POSTROUTING -s 192.168.1.250/32 -j MASQUERADE
COMMIT
# Completed on Fri Aug 12 10:18:54 2016
# Generated by iptables-save v1.4.21 on Fri Aug 12 10:18:54 2016
*mangle
:PREROUTING ACCEPT [33387672:17017857834]
:INPUT ACCEPT [6409479:525988637]
:FORWARD ACCEPT [26036554:16397355355]
:OUTPUT ACCEPT [6914932:970229461]
:POSTROUTING ACCEPT [32955572:17367734827]
COMMIT
# Completed on Fri Aug 12 10:18:54 2016

Comment trouver ce qui bloque ces connexions? Que dois-je vérifier dans la zone Linux? Quelqu'un peut-il donner un indice pour résoudre le problème? Quelque chose d'autre devrais-je mentionner ici? Merci d'avance.


7
2017-08-12 05:13


origine


Pour les futurs lecteurs, si la réponse ci-dessous ne s'applique pas, vous pouvez vérifier si votre MTU est correcte. J'ai eu un problème similaire avec un MTU trop important sur un lien PPPoE, et certains sites fonctionnaient très bien (Google), tandis que d'autres expiraient constamment. La réduction du MTU a résolu le problème. - André Borie


Réponses:


Le masque de réseau est incorrect sur l'interface enp4s1 (WAN).

Ce système a configuré une adresse IP de 49.x.x.x et un masque de réseau de 255.0.0.0 (préfixe / 8). Mais ce n'est pas le masque de réseau que votre FAI vous a fourni.

Par conséquent, vous ne pourrez pas accéder à presque tous les sites Web dont l'adresse IP commence également par 49.

Pour résoudre le problème, corrigez la déclaration de masque de réseau ou de préfixe dans la configuration de votre réseau. Je m'attendrais à ce que le bon préfixe se situe aux alentours de 27, 28 ou 29, selon le FAI.


20
2017-08-12 06:27



Super, tu m'as sauvé la vie. Je ne savais pas ce que signifiait PREFIX0 dans le fichier de configuration de la carte réseau. Sans le savoir, cette ligne a été commentée. Après avoir lu votre réponse, j’ai essayé de changer NETMASK avec 255.255.255.0 dans config. Je ne pouvais pas voir le changement avec NETMASK = 255.255.255.0 ligne, je devais retirer le commentaire PREFIX0 = 24 ligne. Je le fais dans CENT OS 7, pouvons-nous définir NETMASK avec NETMASK dans CENT OS 7? Dois-je connaître le paramètre NETMASK du fournisseur de services si le paramètre PREFIX0 fonctionne pour moi? - Silkograph
Vous devez vraiment utiliser le masque de réseau correct attribué par votre fournisseur de services Internet, sinon vous réduisez simplement le problème ou corrigez excessivement. Vous pouvez essayer d'utiliser temporairement DHCP pour voir s'il attribue automatiquement une adresse et un masque de réseau à l'interface WAN, et d'utiliser ces numéros, mais rien ne garantit qu'il existe un serveur DHCP. - GuitarPicker
@ Silkograph Vous pouvez définir soit NETMASK ou PREFIX dans /etc/sysconfig/network-scripts/ifcfg-enp4s1. Bien qu'en utilisant PREFIX est préféré. Votre FAI aurait dû vous donner le préfixe correct à utiliser. Si vous utilisez le mauvais préfixe / masque de réseau, il y aura tout simplement un plus petit nombre de sites Web auxquels vous ne pourrez pas accéder. - Michael Hampton♦