iptables网络排查记录

原创 已于 2025-10-24 15:49:13 修改 · 1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #bug #1024程序员节

于 2025-09-18 19:09:58 首次发布

实现目的:本地mac能够直接通过容器IP访问部署lima虚拟机的docker容器,方便后续进行远程调试。

问题概述

故障现象

  • Mac主机无法访问Lima虚拟机中的Docker容器IP 172.18.0.2

  • 数据包能够到达tun0接口,但无法转发到br-b693bf906f69网桥(tun0接口是mac-docker-connector创建的网卡,用于打通主机到虚拟机的网络隔离)

  • tcpdump显示数据包在tun0接口可见,但在网桥br-b693bf906f69不可见

  • iptables FORWARD链规则存在但数据包计数为0

网络拓扑结构

Mac主机(192.168.251.2) → Lima虚拟机(tun0) → 网桥(br-b693bf906f69) → Docker容器(172.18.0.2)

排查过程

  1. 定位问题:网络包在tun0网卡转发br-b693bf906f69网桥中间环节有问题;

  2. 进一步细化中间链路,根据iptables工作流程,该网络包对应的是转发处理,具体环节如下

    [网卡A接收包]
   ↓
PREROUTING:
   raw 表       (关闭连接跟踪 NOTRACK)
   mangle 表    (修改TOS/TTL/Mark)
   nat 表       (DNAT)
   ↓
路由判断 (Routing Decision)
   ↓
FORWARD:
   mangle 表    (修改包属性)
   filter
最低0.47元/天 解锁文章
服务器网络不通排查方案
LUyan10086的博客
08-08 1818
最近遇到了服务器上服务已经启动,但是在浏览器上无法访问的问题,记录一下排查流程netstat 命令用于显示各种网络相关信息,如网络连接、路由表、接口统计等。它可以帮助系统管理员和网络工程师监视和诊断网络问题。常见用法和功能: netstat -aptn 命令 netstat -aptn 是 netstat 命令的一个常见用法,通常用于详细列出系统上所有的网络连接和相关进程信息。详细解释:-a 参数:显示所有的网络连接,括正在进行的连接和监听状态的连接。-p 参数:显示与网络连接相关联的进程信息(PID 和
网络问题排查
wwwvipp的博客
10-30 947
当你在 Linux 系统中 ping 一个域名并发现响应时间很长时,可能存在于多个环节的问题。使用 iftop、nload 或 iptraf 等工具检查网络接口的负载,查看是否有不正常的流量导致网络拥堵。路由表:使用 netstat -rn 或 ip route 查看路由表,确保没有错误的路由配置。确保防火墙没有阻止或限制某些网络流量,这可能会导致网络延迟。网络接口:检查网络接口配置是否正确,确保没有错误的 IP 地址或子网掩码。查看输出中每一跳的响应时间,找出哪个节点导致延迟。
14、Linux IPTABLES网络命令全解析
cnn8visionary的博客
09-06 61
本文全面解析了Linux系统中的IPTABLES防火墙工具及常用网络命令,iptables的ACCEPT和DROP规则、ifconfig、ip、route、netstat等网络配置与监控命令,以及hostname、nslookup和host等DNS相关命令。通过实际应用示例和场景分析,帮助读者掌握如何使用这些工具进行网络安全防护、网络配置管理和DNS调试,适用于构建稳定、安全、高效的网络环境。
Linux-iptables
gongwanzhang的博客
05-16 1195
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据的进出,设定规则来决定哪些数据可以被接受、拒绝或转发。
生产环境网络排查总流程
m0_62211779的博客
07-30 523
查看从第3跳开始高延迟,发现是交换机端口丢,网管更换后恢复。某系统使用内网 DNS,域名解析失败。MySQL 未启动,导致应用连接被拒绝(某服务器连接慢,使用。
服务器病毒排查记录
梵城专栏
05-30 512
金秋送爽,丹桂飘香,在这个已经逝去的秋天,我收获了酸爽。下面,以时间顺序记录此次服务器病毒排查过程。 8月第一周,服务器进入IDC机房,机器通过几台交换机,括核心交换机,汇聚交换机,局域网交换机直接向外提供服务,用拟人化的手法形容服务器当时状态的话,叫裸奔。所以,处于网线另一端网络高手们,很容易通过工具扫描到这些服务器,而这个时候的服务器连本机的防火墙都没有打开。 防火墙是什么,防火墙是数据进入服务器的第一道关卡,执行的是iptables的策略规则来限制或放行进入服务器数据,其策略规则除了运维人员配置外,
记录一次服务器访问缓慢排查解决
lansye的专栏
07-09 478
摘要:排查服务器访问慢问题时,若iftop发现异常连接但lsof无法定位PID,可采用多种方法:1)使用ss和nsenter排查容器/命名空间隔离的进程;2)通过tcpdump检测SYN洪水攻击;3)检查内核模块和隐藏进程;4)对比netstat与ps的PID差异;5)应急时用iptables阻断IP;6)针对容器环境检查容器网络命名空间。最终通过定位容器网络找到问题容器并解决,建议优先阻断异常IP,再排查rootkit或容器隔离问题。(150字)
iptables防火墙
qq_43597619的博客
07-29 773
以下是 ‌iptables 防火墙‌ 的完整使用指南,涵盖规则配置、场景示例及故障排查技巧:📌 ‌一、核心概念速览‌‌术语‌ ‌ 作用‌ ‌ 常用命令参数‌‌表 (Tables)‌ 规则分类存储 -t filter/nat/mangle‌链 (Chains)‌ 规则执行路径(INPUT/OUTPUT等) -A(追加)-I(插入)‌规则 (Rules)‌ 匹配条件 + 动作(ACCEPT/DROP) -p(协议)-s(源IP)
Linux iptables 防火墙
2503_93012396的博客
08-25 773
iptables并非单一组件,而是由内核态的 netfilter和用户态的 iptables 工具规则顺序很重要:链内规则按“自上而下”匹配,优先配置“精确允许”规则,再配置“默认拒绝”;远程操作防断连:设置INPUT链默认DROP前,务必先允许 SSH(22 端口);规则生效与保存:iptables 规则默认临时生效,重启后丢失,需通过保存(后续文章会讲解);生产环境建议:默认策略设为DROP,仅开放必要端口(如 22、80、443),避免“一刀切”允许所有访问。通过本文的学习,你已掌握。
容器网络防火墙状态异常导致丢排查记录
吉小白的博客
09-03 2202
0.导语 K8s容器网络涉及诸多内核子系统,IPVS,Iptable,3层路由,2层转发,TCP/IP协议栈,这些复杂的内核子系统在特定场景下可能会遇到设计者最初也想不到的问题。 本文分享了iptable防火墙状态异常导致丢排查记录,这个排查过程非常曲折,最后使用了在现在的作者看来非常落伍的工具:systemtap,才得以排查成功。其实依作者现有的经验,此问题现在仅需一条命令即可找到原因,这条命令就是作者之前分享过文章使用 ebpf 深入分析容器网络 dup 问题中提到的skbtracker。时隔7个
iptables日志记录:监控和分析网络流量
iptables是Linux系统上用于管理网络过滤和转发规则的工具,可以通过iptables来配置防火墙以及进行网络流量控制和管理。它是一个非常强大和灵活的工具,能够帮助管理员保护服务器免受恶意攻击,并实现网络流量的...
vue实现页面不断插入内容并且自动滚动功能
最新发布
weixin_50606255的博客
12-04 271
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
网络安全漏洞之React 框架分析
anquan2233的博客
12-04 1171
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
【Android逆向工程】第19章:协议分析与接口还原
w987333120的博客
12-03 416
本文介绍了网络协议分析的关键技术与工具。主要内容括HTTP/HTTPS协议分析流程、常用抓工具配置(Charles/Burp Suite)、协议格式解析方法以及签名算法还原技术。通过示例展示了完整的请求/响应分析过程,涵盖请求行、请求头、请求体的解析方法,特别关注签名相关字段的识别。文章还提供了Python代码示例演示如何自动分析HTTP请求结构,帮助逆向工程师理解业务逻辑、还原接口签名算法并实现自动化脚本。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1677
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
openEuler + Nginx 高性能 Web 服务深度评测
笃行其道的博客
12-03 1052
本文介绍了在openEuler操作系统上部署Nginx集群的性能测试方案。通过优化内核参数、资源限制和系统调优,在32核64GB环境的华为云实例上进行八大维度的压测:静态文件服务测试显示小文件QPS达23万+,大文件传输速率13.97GB/s;反向代理性能测试QPS23万;HTTPS测试降幅仅16%;长连接测试QPS8.6万;压缩测试显示99%压缩率;极限测试支撑10万+并发。测试结果表明,openEuler的网络/I/O优化与Nginx事件驱动架构完美结合,CPU利用率96%且内存占用<10%,延迟
学习:《The QUIC Transport Protocol: Design and Internet-Scale Deployment》
qq_45913654的博客
12-02 812
QUIC协议是基于UDP的新型传输协议,旨在解决TCP协议在互联网环境中的固有缺陷。
【路由器】路由
weixin_43202230的博客
12-03 1173
RIB是"控制平面"的所有候选路由;FIB/CEF是"数据平面"的高效查表,用来线速转发。RIB:保存所有候选与策略,用来"选路"。存"所有可能"。FIB:保存选好的最优结果,用来"高速转发"。存"现在就用的"。每个报文查询的是转发表,而非路由表,只是转发表由路由表更新得到。
如何排查网络不通
07-03
<think>我们正在处理一个关于网络连接排查的问题。用户想知道如何排查服务器或本地网络连接不通的问题。根据之前的引用内容(虽然引用是关于Linux网络不通排查的),我们可以结合常见的网络排查步骤来回答。注意:用户的问题是关于服务器或本地网络连接不通的排查,因此我们需要涵盖从本地到服务器的整个路径。我们将按照以下步骤进行排查:1.检查本地网络连接2.检查目标服务器是否可达(使用ping)3.检查网络路径(使用traceroute)4.检查目标端口是否开放(使用telnet或nc)5.检查DNS解析6.检查防火墙设置7.使用curl测试HTTP服务(如果适用)由于用户可能是在不同的操作系统上,我们将分别考虑Linux/Unix和Windows的常用命令。下面开始回答:</think>### 如何排查服务器或本地网络连接不通的问题 排查网络连接问题需遵循分层诊断原则,以下是系统化排查流程: #### 1. **检查本地网络基础** - **物理连接**:确认网线/光纤插紧,路由器/交换机指示灯正常。 - **IP配置**: ```bash # Linux/Windows ipconfig / ifconfig # 检查IP地址、子网掩码、网关 route print / netstat -rn # 检查路由表 ``` - **本地回环测试**: ```bash ping 127.0.0.1 # 验证本地TCP/IP协议栈是否正常 ``` #### 2. **测试目标可达性** - **ICMP层测试**: ```bash ping <目标IP或域名> # 基础连通性测试 ``` - 若超时: - 检查防火墙是否屏蔽ICMP:`sudo iptables -L`(Linux) - 确认目标服务器允许ping请求 - **路径追踪**: ```bash traceroute <目标IP> # Linux tracert <目标IP> # Windows ``` 观察中断节点定位故障位置[^1]。 #### 3. **端口级连通性验证** - **TCP/UDP端口检测**: ```bash telnet <目标IP> <端口号> # TCP端口测试 nc -zv <目标IP> <端口号> # Linux UDP/TCP测试 ``` - 连接拒绝:目标服务未运行或防火墙拦截 - 超时:中间网络设备阻断 #### 4. **DNS解析排查** ```bash nslookup <域名> # 检查DNS解析是否正确 dig <域名> # Linux详细DNS诊断 ``` - 若解析失败: - 检查`/etc/resolv.conf`(Linux)或网卡DNS配置 - 尝试更换DNS服务器(如`8.8.8.8`) #### 5. **服务端检查** - **服务状态**: ```bash sudo systemctl status <服务名> # 检查Web/DB等服务是否运行 ``` - **本地监听测试**: ```bash netstat -tuln | grep <端口号> # 确认服务是否监听正确端口 ``` #### 6. **防火墙验证** - **本地防火墙**: ```bash sudo ufw status # Ubuntu firewall-cmd --list-all # CentOS ``` - **云平台安全组**:检查AWS/AliCloud等安全组规则是否放行目标端口。 #### 7. **高级诊断工具** - **数据捕获**: ```bash tcpdump -i eth0 host <目标IP> -w capture.pcap ``` - **HTTP层测试**: ```bash curl -v http://<目标IP> # 分析HTTP响应头和状态码 ``` 关注状态码: - `200 OK`:服务正常[^1] - `4xx`:客户端错误(如404路径错误) - `5xx`:服务端错误(如502网关故障) #### 典型故障场景 | 现象 | 可能原因 | 解决方案 | |---------------------|--------------------------|------------------------| | ping通但端口不通 | 服务未启动/防火墙拦截 | 检查服务状态和防火墙 | | 本地通外部不通 | 网关/NAT配置错误 | 检查路由表和网关设置 | | 间歇性连接中断 | 网络拥塞/ARP冲突 | 使用`arp -a`检查ARP表 | > **关键提示**:始终遵循从底层(物理层)到高层(应用层)的排查顺序,并记录每步测试结果。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值