NAT 下“能 ping 不能 curl”:TCP/443 链路排障

天荒地老笑话么2026-02-15 8:42

现象:

ping 1.1.1.1 通

但 curl https://... 失败 / 卡住 / 超时
结论:这通常不是"有没有网"的问题,而是 TCP/443、DNS、代理、MTU、证书/时间 其中之一。

0. 先把问题分成两类:DNS 还是 TCP/443

0.1 跳过 DNS 直连 IP(只判断链路)

bash 复制代码 
curl -I --connect-timeout 5 https://1.1.1.1
  • 如果这里都失败:优先排 TCP/443/MTU/代理/防火墙
  • 如果这里能通,但域名不通:优先排 DNS

1. Step 1:确认 DNS 是否正常(最常见)

1.1 看解析结果

bash 复制代码 
dig +short google.com
dig +short http.kali.org

1.2 看 resolv.conf

bash 复制代码 
cat /etc/resolv.conf

如果 dig 不出结果,先重启网络拿一次 DHCP:

bash 复制代码 
sudo systemctl restart NetworkManager

2. Step 2:确认默认路由与出口网卡

bash 复制代码 
ip a
ip route

你应该能看到:

  • 有一个默认路由:default via <网关> dev <网卡>
  • 网卡通常是 eth0(虚拟机里常见)

3. Step 3:验证 TCP/443 是否能建立连接(不依赖 curl)

3.1 用 openssl 测 TLS 握手(最直观)

bash 复制代码 
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

3.2 或用 nc 验证端口可达

bash 复制代码 
nc -vz http.kali.org 443
  • 如果端口不可达:优先看 代理/VPN/防火墙/MTU
  • 如果端口可达但 curl 失败:优先看 证书/时间/代理环境变量

4. Step 4:检查"代理把你坑了"(NAT 环境最常见之一)

bash 复制代码 
env | egrep -i 'http_proxy|https_proxy|all_proxy|no_proxy'

如果你看到配置了代理,但代理并不可用,临时取消(当前终端会话):

bash 复制代码 
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

再测:

bash 复制代码 
curl -I https://http.kali.org

5. Step 5:检查时间与证书(经常被误判成"网络问题")

bash 复制代码 
timedatectl
date

若 System clock synchronized: no 或时间明显不对:先按 B2-09 修复 NTP,再回来测 curl。

6. Step 6:排 MTU/MSS(VPN/代理/公司网络常见)

6.1 快速测:大包是否丢

bash 复制代码 
ping -c 3 -M do -s 1472 1.1.1.1
  • 若失败:说明路径 MTU 可能更小(常见于 VPN/隧道/NAT 叠加)
  • 可尝试降低测试值(例如 1400、1360)定位阈值

6.2 临时把网卡 MTU 调小(应急)

示例把 MTU 调到 1400(只建议用于定位/临时修复)

bash 复制代码 
sudo ip link set dev eth0 mtu 1400
ip link show eth0
curl -I https://http.kali.org

7. Step 7:抓一把关键证据(最省时间)

7.1 看 curl 细节

bash 复制代码 
curl -Iv https://http.kali.org --connect-timeout 10

你要关注:

  • 卡在 Trying ...:偏连接问题(TCP)
  • 卡在 TLS handshake:偏证书/时间/中间盒
  • 直接报代理:偏代理变量/代理不可达

7.2 抓 TCP 连接(可选)

bash 复制代码 
sudo tcpdump -i eth0 -nn host http.kali.org and port 443

8. 最小复盘清单(可复制)

bash 复制代码 
# DNS
dig +short http.kali.org
cat /etc/resolv.conf

# 路由
ip route

# 443 可达性
nc -vz http.kali.org 443
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

# 代理
env | egrep -i 'proxy'
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

# 时间
timedatectl

# curl 细节
curl -Iv https://http.kali.org --connect-timeout 10
相关推荐
灰子学技术2 小时前
Envoy HTTP 过滤器处理技术文档
网络·网络协议·http
Olivia051405144 小时前
Voohu:音频变压器的屏蔽接地技术对50Hz工频噪声抑制的影响
网络·机器人·信息与通信
2401_873479404 小时前
企业安全团队如何配合公安协查?IP查询在电子取证中的技术实践
tcp/ip·安全·网络安全·php
byoass4 小时前
智巢AI知识库深度解析:企业文档管理从大海捞针到精准狙击的进化之路
开发语言·网络·人工智能·安全·c#·云计算
zhihuishuxia__4 小时前
Multiplex通讯(多路复用通讯)
网络·图像处理·数码相机·计算机视觉·自动化
勤劳的进取家5 小时前
数据链路层基础
网络·学习·算法
ZenosDoron5 小时前
虚拟机软件(如 VirtualBox、VMware)通常提供三种主要的网络模式
网络·智能路由器
乌托邦的逃亡者5 小时前
CentOS/Openeuler主机中,为一个网卡设置多个IP地址
linux·运维·网络·tcp/ip·centos
@insist1235 小时前
信息安全工程师核心考点:物理与环境安全(下篇)
网络·安全·软考·信息安全工程师·软件水平考试
念一不念二5 小时前
硬件通信协议
网络
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09裂开!ChatGPT 居然开始要手机号验证,附详细解决方法10零基础教你claude code 接入 deepseek V4