源/目的检查开启导致虚拟IP背后的LVS无法正常访问

情况描述

近期发现48网段主机无法访问8.83这个VIP(虚拟IP),环境是 8.83 绑定了两个LVS实例,然后LVS实例转发到后端的nginx 静态资源;整个流程是,客户端发起对VIP的请求,LVS将请求转发到后端实例,后端实例直接返回给客户端。

处理步骤

1、同网段端口不通,考虑是否有主机层面防火墙,检查是没有的

2、nmap扫描VIP的端口,发现22、111正常,80/443拦截,考虑是否安全组限制,检查发现并没有限制

复制代码
Starting Nmap 6.40 ( http://nmap.org ) at 2024-04-26 10:09 CST
Nmap scan report for 1.1.8.83
Host is up (0.00018s latency).
Not shown: 996 closed ports
PORT    STATE    SERVICE
22/tcp  open     ssh
80/tcp  filtered http
111/tcp open     rpcbind
443/tcp filtered https
MAC Address: XX:XX:XX:XX:XX:XX (Unknown)

3、考虑后端端口是否正常,尝试客户端直接访问后端端口,发现正常可访问

此时,直接访问VIP端口,也能访问了,这个就暂时无法理解(过了一阵子又发生了这个情况)

4、抓包(对比没有访问过后端实例的请求与被拦截的请求),因为已经可以访问了,看不出来

5、突然想起来,云网卡上有个源目的检测,发现后端服务器云网卡有开启这个开关,关闭后不再拦截

总结

这个情况属实是没想到,默认开启的开关一时半会也没关联到这方面,凑巧解决的,应该是过了LVS,后端云网卡认为源端应该是LVS而不是客户机,然后发送报文被拦截了,也可能是其他原因

看来问题不光出现在视野范围内啊;

补充说明

以下内容是摘抄云网卡上对源目的检测的说明:

为安全起见,默认情况下"源/目的检查"的状态为"ON",系统会检查弹性云服务器发送的报文中源IP地址是否正确,如果不正确,则不允许发送该报文。通过该功能,有助于防止伪装报文攻击,提升安全性。

以下两种场景,您需要通过设置"源/目的检查"状态为"OFF",禁用该功能,以保证报文正常转发:

  1. 在SNAT场景下,配置SNAT的弹性云服务器起转发作用,这种保护机制会导致报文的发送者无法接收到返回的报文。

  2. 在虚拟IP场景下,绑定虚拟IP的弹性云服务器,绑定的网卡需要发送源IP为虚拟IP的报文。

相关推荐
rcms1527026921814 分钟前
AMAT 0190-27952-04 终端服务器
网络
海外数字观察家40 分钟前
品未云:博兹瓦纳华商批发零售一体化 ERP,破解本土软件适配难题|CSDN 技术分享
大数据·网络·人工智能·博兹瓦纳进销存系统·博兹瓦纳收银系统·博兹瓦纳erp系统·博兹瓦纳仓库管理系统
段一凡-华北理工大学1 小时前
AI Agent 从入门到封神:24 讲打造你的超级智能体~系列文章23:从Demo到上线:Agent应用的架构设计、性能优化与成本控制实战
运维·网络·人工智能·性能优化·高炉炼铁·工业智能体
leagsoft_10032 小时前
从“策略看不清”到“风险可收敛”:某高端精密制造企业的网络安全策略治理实践
网络·web安全·制造
paopaokaka_luck2 小时前
基于Springboot3+Vue3的宠物殡葬管理系统(webSocket实时通讯、接入腾讯地图、支付宝沙盒支付、Echarts图形化分析)
java·开发语言·网络·后端
承渊政道2 小时前
【从零开始大模型开发与微调:基于PyTorch与ChatGLM】(从退化问题到信息高速公路:ResNet残差网络实战拆解)
网络·人工智能·pytorch·深度学习·resnet·chatglm·卷积
Lhappy嘻嘻2 小时前
网络初识|基础入门:局域网广域网、IP 端口、TCP/IP 五层模型与封装解封装全过程
java·开发语言·网络·笔记·网络协议·tcp/ip
KaMeidebaby2 小时前
卡梅德生物技术快报|兔单克隆抗体:噬菌体 Fab 免疫文库搭建实操:兔单克隆抗体重组构建完整参数
前端·网络·数据库·人工智能·算法
Lhappy嘻嘻2 小时前
网络(二)|Java Socket 编程全实战:UDP 回显 / 词典服务器、TCP 单线程→多线程线程池演进
java·开发语言·网络·学习·面试·udp·tcp
IpdataCloud13 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip