单网卡配置多ip段ip后都能ping得通,但是web服务都打不开了

于 2025-07-20 16:48:23 发布
阅读量480 收藏 11
点赞数 22
CC 4.0 BY-SA版权
分类专栏: PHP 经验 文章标签: tcp/ip 前端 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjj_web/article/details/149484888

单网卡配置多个IP段后网络层通信正常(能ping通),但Web服务无法访问。这通常与传输层(TCP/UDP)或应用层配置有关。以下是系统化的排查和解决方案:

1. 检查Web服务监听配置

问题原因:Web服务(如Nginx/Apache)可能只绑定在特定IP上,未监听新配置的IP地址。

  • 排查方法

    ss -tulnp | grep ":80"  # 替换80为实际端口(如443)

    观察输出:

    • 若显示 0.0.0.0:80 表示监听所有IP(正常)。
    • 若显示 192.168.1.1:80(特定IP),则需修改配置。

  • 解决方案

    • Nginx:修改配置文件,将 listen 改为:
      listen 80;          # 监听所有IPv4
listen [::]:80;     # 监听所有IPv6(可选)
    • Apache:修改 VirtualHost 为:
      <VirtualHost *:80>   # * 表示所有IP
    • 重启服务:systemctl restart nginx/apache2

2. 防火墙规则限制

问题原因:防火墙未放行新IP段的流量。

  • 排查方法

    iptables -L -n -v | grep ":80"  # 检查80端口规则

    若输出中无新IP段的放行记录,则需添加规则。

  • 解决方案

    • 放行特定IP段(例如 192.168.2.0/24):
      # 临时生效
iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
    • 永久生效(根据系统选择):
      • Firewalld:
        firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.0/24" port port="80" protocol="tcp" accept' --permanent
firewall-cmd --reload
      • UFW:
        ufw allow from 192.168.2.0/24 to any port 80

3. 路由策略或反向代理问题

问题原因:服务器返回流量时未走正确网关。

  • 场景示例

    • 客户端IP段为 192.168.2.0/24,但服务器默认路由指向 192.168.1.1
    • 服务器响应时可能将数据包发往 192.168.1.1(错误网关)。

  • 解决方案

    ip route show | grep default  # 查看默认路由
    • 若所有流量走同一网关(如 default via 192.168.1.1),需为不同IP段添加策略路由:
      # 创建路由表
echo "200 custom" >> /etc/iproute2/rt_tables

# 添加路由规则
ip route add 192.168.2.0/24 dev eth0 table custom
ip route add default via 192.168.2.1 table custom  # 替换为新IP段网关

# 添加策略
ip rule add from 192.168.2.0/24 lookup custom
    • 永久生效:将上述命令写入 /etc/rc.local 或使用 netplan/NetworkManager 配置。

4. Web服务器配置覆盖

问题原因:虚拟主机(如Nginx的server{}块)可能绑定了旧IP。

  • 排查方法
    grep -r "listen .*192.168" /etc/nginx/  # 检查Nginx中绑定旧IP的配置
  • 解决方案
    • 删除配置文件中绑定旧IP的指令(如 listen 192.168.1.1:80;)。
    • 改为监听所有IP(参考第1步)。

5. SELinux/AppArmor 安全模块

问题原因:安全策略阻止了新IP的绑定。

  • 解决方案
    • 临时禁用测试:
      setenforce 0       # 关闭SELinux(CentOS)
systemctl stop apparmor  # 关闭AppArmor(Ubuntu)
    • 若服务恢复,调整策略:
      # SELinux允许HTTP监听
setsebool -P httpd_can_network_connect 1

6. 客户端到服务器的路径问题

问题原因:中间设备(防火墙、路由器)可能拦截了非默认IP段的流量。

  • 排查方法
    • 在客户端执行路由跟踪:
      traceroute -n 服务器新IP
    • 检查路径中是否有设备丢弃了80端口流量。

快速诊断脚本

在服务器上运行以下命令,一键排查:

echo "=> 检查端口监听:"
sudo ss -tulnp | grep ":80"
echo -e "\n=> 检查防火墙:"
sudo iptables -L -n -v | grep ":80"
echo -e "\n=> 检查路由:"
ip route show
echo -e "\n=> 检查Web服务配置:"
sudo grep -r "listen" /etc/nginx/ /etc/apache2/ 2>/dev/null | grep -v ":80;"

通过以上步骤,90%以上的同类问题可解决。重点优先检查第1、2项(监听绑定和防火墙),这两项最常见。若问题仍存在,请提供以下信息:

  • 操作系统类型及版本
  • Web服务器类型及配置文件片段
  • ip addrip route 的输出
  • 客户端访问时的具体错误(如连接超时/拒绝连接)
Windows学习总结(21)——常用网络命令ping、Telnet等详解
科技D人生
02-25 1616
一,ping 它是用来检查网络是否畅或者网络连接速度的命令。它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。在 DOS 窗口中键入:ping /?回车。所示如下帮助画面: ping/? -t 表示将不间断向目标 IP 发送数据包,直到我们强迫其停止。 -l 定义发送数据包的大小,默认为32 字节,我们利用它可以最大定义到65500 字..
配置 Squid 反向代理时客户端无法访问 Squid 反向代理服务
Xucf1
02-24 1882
文章目录一、现象二、解决 一、现象 环境配置如下,这是一个小型实验,仅供参考: 主机 主机名 操作系统 IP 地址 主要软件 Squid-Server CentOS 7-5 CentOS 7 192.168.126.15 squid-3.5.28.tar.gz Web1 CentOS 7-4 CentOS 7 192.168.126.14 httpd Web2 CentOS 7-3 CentOS 7 192.168.126.13 httpd 客户端 Win10 Windows
华为云服务打不开网站,云服务打不开网页
weixin_27061475的博客
08-06 2215
服务打不开网页 内容精选换一换网站的访问与云服务器的网络配置、端口信、防火墙配置、安全组配置个环节相关联。任意一个环节出现问题,都会导致网站无法访问。本节操作介绍网站无法访问时的排查思路。网站无法访问怎么办?如果打开网站有报错提示信息,首先应该根据报错提示信息,排查可能的原因。您可以参考用请求返回值中错误码说明排查可能原因。以下排查思路根据原因的出现概率进行排请先在服务器所在区域购买充...
IP限制不靠谱?试试防火墙用户认证(本地portal认证)
weixin_33204522的博客
08-22 262
前言在很时候想控制客户端上网,只能去找对应客户端所在的网,查找到对应的IP或者MAC地址,在进行控制,而且IP并不能代表具体的某个“谁”,如果想知道“谁”做了什么,就只能IP去判断,在查找上面会有很大的限制。用户认证的出现用用户名代替了IP,防火墙可以不去关心你IP、MAC是少,只看你的用户名,过用户名来控制访...
主机不能访问虚拟机中的web服务【解决方案】
热门推荐
sudazf的专栏
01-21 7万+
情况是这样的:在虚拟机visualBox里安装了centos7系统,并且在该系统里运行了一个web服务,想过宿主机或者外网来访问该服务,总是无法访问(虚拟机网卡已配置成桥接): 宿主机【win7】ip: 虚拟机【CentOS7】ip: 彼此能互相ping,虚拟机中启动了一个简单的web服务:一个简单的只要访问就能得到一句简单的响应: 在虚拟机内部能够访问:
day11、1 - OSI与TCP-IP5层协议
Edimade的博客
05-08 663
一、分层思想>二、OSI七层模型>三、TCP/IP五层协议栈>四、每层的设备和传输单元总结>五、TCP/IP五层模型中协议总结>六、数据封装与解封装>七、生活中比特流小常识
怎么查看网站服务器开了哪些端口,怎么查看服务器开了哪个端口
weixin_42502366的博客
08-09 2929
怎么查看服务器开了哪个端口 内容精选换一换本节操作指导用户关闭Windows操作系统云服务器的防火墙,以及防火墙添加例外端口的操作。本节操作以2012操作系统云服务器为例。防火墙开启和设置安全组是对云服务器的双重保护,如果选择关闭防火墙,建议安全组谨慎开放端口。登录Windows弹性云服务器。单击桌面左下角的Windows图标,选择“控制面板 > Windows防火墙”。单击“启确认服务器服...
tcp/ip协议
weixin_63891022的博客
05-19 1491
攻击原理:SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IPIP发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。如果一信源向相同的信宿发送两个连续的数据报(先是A,然后是B),每个数据报都是独立地进行路由选择,可能选择不同的路线,因此B可能在A到达之前先到达。
为什么ping网站 但是却可以访问该网站?
lxw1844912514的博客
06-24 2万+
今天,在访问一个网站的时候,我想看看它的ip少,就在windows 命令行下去ping了下该网站/主机;ip地址是解析出来了,但是却发现请求超时,没有ping,当时我就很困惑。然后,我又tracert 该 ip 跟踪了一下 想看看到底什么问题,最后我发现,当跟踪到该 ip的时候 请求被拒绝了。突然之间,应该是服务端 设置了相关策略对网络层icmp 回显请求报文进行了...
一个防火墙设置的问题——能PING但不能上网
weixin_33701251的博客
03-03 1657
前几天给一用户开上网,按照平常的步骤建立了防火墙规则,使用的是SONICWALL PRO 3060防火墙。 于是测试是否可以上网,打开网页,输入网址,不能打开SOHU等网站,接着就PING www.sohu.com可以PING,因此觉得奇怪,能PING域名,但打不开网页,出什么问题了? 刚开始以为是有什么病毒或插件把IE改了,于是使用360安全卫士检查了...
IP服务器利用ProxmoxVE建立IPv4-NAT和IPv6虚拟机
坑哥的技术记录本
04-06 5869
ProxmoxVE是一个集成了KVM、OpenVZ的开源虚拟化管理平台。基于Debian构建。Proxmox有简单易用的WEB控制面板。让用户可以在网页环境中轻松的建立和管理KVM以及OpenVZ构架的虚拟机。 本方法适用于online.net / oneprovider.com和hetzner.de的独立服务器,以及digitalocean.com的VPS服务器。 1:安装ProxmoxVE...
window7下使用vmware搭建linux. 并实现电脑主机和虚拟机都能访问对方的搭建的web项目.以及域名绑定
miracle
05-17 2702
本文前提是window环境下已经安装了vmware软件,并装上centos系统. 1. 首相实现主机和虚拟机能互. 最简单的测试方式就是ping下对方看是不是的 1.1 在window上打开 网络和共享中心 , 看下如图红框的两个网络是不是启用的, 没有的话右键点击启用.(极少可能会出现无法启用的情况,需要修改注册表.解决方法可自行百度下) 同时对vmnet ...
计算机网络参考模型——OSI七层参考模型和TCP/IP五层参考模型
weixin_53560205的博客
06-24 1523
文章目录前言一、OSI参考模型1、网络协议与标准2、OSI二、TCP/IP协议簇1、TCP/IP参考模型(传输控制协议/网络互联协议)2、模型对应的一些协议三、TCP三次握手四、TCPD四次挥手五、数据封装与拆封装的过程1.数据封装过程 ——(从高到底) —— 发送方2.数据解封装过程 ——(自下而上)——接收方3.常见设备与五层模型的对应关系4.各层间信六、端口号 前言 为什么要分层?:将复杂的流程分解为几个功能相对单一的子过程 整个流程更加清晰,复杂问题简单化 更容易发现问题并针对性的解决问题
TCP Flood攻击实验
aI_Zzx的博客
09-29 3992
希望能够帮助到正在学习网络攻防滴同学们,还望佬们指教Doge
c#:TCP服务端管理类
最新发布
weixin_44899642的博客
07-20 315
摘要: 本文介绍了TCP客户端连接服务端的实现方案,包含一个TCP信工具类(TcpClientAsyncTool)的核心代码。该类实现了异步连接、同步断开、数据发送和接收功能。主要特性包括:1)支持异步连接并设置超时时间;2)提供连接状态检查和错误处理;3)实现同步数据发送和接收;4)内置异常处理和连接状态维护。代码展示了核心方法如ConnectAsync、DisConnect、SendData和ReceiveData的实现细节,适用于需要管理服务端连接的TCP客户端场景。
软路由 + 代理 IP 实现手机不同公网 IP 分配教程
q2669689953的博客
07-16 435
2.使每个手机连接不同的 WiFi,实现每个 WiFi 对应一个独立 IP,相互之间无关联,就如同每个 WiFi 都是一个遍布在全国各地的家庭路由器。2.代理 IP 服务选择:挑选可靠的代理 IP 服务提供商,如兔子 IP等,根据使用场景和预算选择动态 IP 代理或静态 IP 代理,以及相应的套餐。过以上步骤,可高效实现手机不同公网 IP 的分配,适用于种场景。1.例如手游工作室,为避免游戏检测系统制裁,需要一台设备一个 IP,此时可过实体机搭建 ROS 软路由,配合兔子 IP
TCP/IP 哲学:端到端的 Postel 定律
TCP/IP
07-19 457
智能手机允许用户进行任何操作,即使是错的或者无效的,它也尽力猜测并对准操作边界,只要不明确违规即可行,用户的操作空间扩展到了整个屏幕,配合以任意手势,针对任意操作均有可视化回应,比如屏幕下拉,下滑,左右滑,长按,此外,智能手机以独占输入精确提示用户如何操作,比如只让你输入 4 位数字,没别的选项。某种意义上,电脑失败了,智能手机却成功了,原因很简单,电脑恪守了端到端原则,作为终端,它的操作太复杂了,而智能手机同样作为终端却成功了,这背后又隐藏了什么。总结两大件,端到端原则和 Postel 定律,相铺相成。
Tcpdump使用
weixin_43332972的博客
07-17 591
tcpdump抓包工具
实训十——路由器与TCP/IP模型
m0_68754495的博客
07-16 820
本文摘要: 网络信过程分析:1)同网设备过ARP广播获取目标MAC地址,交换机过MAC地址表或泛洪机制转发数据;2)不同网信需借助路由器,过静态或动态路由选择路径;3)特殊场景下逻辑网重复会导致负载均衡和丢包问题。文中还详细介绍了TCP/IP四层模型及各层主要协议的功能,包括应用层的HTTP/FTP/DNS、传输层的TCP/UDP、网络层的IP/ICMP/ARP等协议的工作机制和应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值