NAT 下“能 ping 不能 curl”:TCP/443 链路排障

现象:

ping 1.1.1.1 通

但 curl https://... 失败 / 卡住 / 超时
结论:这通常不是"有没有网"的问题,而是 TCP/443、DNS、代理、MTU、证书/时间 其中之一。


0. 先把问题分成两类:DNS 还是 TCP/443

0.1 跳过 DNS 直连 IP(只判断链路)

bash 复制代码
curl -I --connect-timeout 5 https://1.1.1.1
  • 如果这里都失败:优先排 TCP/443/MTU/代理/防火墙
  • 如果这里能通,但域名不通:优先排 DNS

1. Step 1:确认 DNS 是否正常(最常见)

1.1 看解析结果

bash 复制代码
dig +short google.com
dig +short http.kali.org

1.2 看 resolv.conf

bash 复制代码
cat /etc/resolv.conf

如果 dig 不出结果,先重启网络拿一次 DHCP:

bash 复制代码
sudo systemctl restart NetworkManager

2. Step 2:确认默认路由与出口网卡

bash 复制代码
ip a
ip route

你应该能看到:

  • 有一个默认路由:default via <网关> dev <网卡>
  • 网卡通常是 eth0(虚拟机里常见)

3. Step 3:验证 TCP/443 是否能建立连接(不依赖 curl)

3.1 用 openssl 测 TLS 握手(最直观)

bash 复制代码
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

3.2 或用 nc 验证端口可达

bash 复制代码
nc -vz http.kali.org 443
  • 如果端口不可达:优先看 代理/VPN/防火墙/MTU
  • 如果端口可达但 curl 失败:优先看 证书/时间/代理环境变量

4. Step 4:检查"代理把你坑了"(NAT 环境最常见之一)

bash 复制代码
env | egrep -i 'http_proxy|https_proxy|all_proxy|no_proxy'

如果你看到配置了代理,但代理并不可用,临时取消(当前终端会话):

bash 复制代码
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

再测:

bash 复制代码
curl -I https://http.kali.org

5. Step 5:检查时间与证书(经常被误判成"网络问题")

bash 复制代码
timedatectl
date

若 System clock synchronized: no 或时间明显不对:先按 B2-09 修复 NTP,再回来测 curl。


6. Step 6:排 MTU/MSS(VPN/代理/公司网络常见)

6.1 快速测:大包是否丢

bash 复制代码
ping -c 3 -M do -s 1472 1.1.1.1
  • 若失败:说明路径 MTU 可能更小(常见于 VPN/隧道/NAT 叠加)
  • 可尝试降低测试值(例如 1400、1360)定位阈值

6.2 临时把网卡 MTU 调小(应急)

示例把 MTU 调到 1400(只建议用于定位/临时修复)

bash 复制代码
sudo ip link set dev eth0 mtu 1400
ip link show eth0
curl -I https://http.kali.org

7. Step 7:抓一把关键证据(最省时间)

7.1 看 curl 细节

bash 复制代码
curl -Iv https://http.kali.org --connect-timeout 10

你要关注:

  • 卡在 Trying ...:偏连接问题(TCP)
  • 卡在 TLS handshake:偏证书/时间/中间盒
  • 直接报代理:偏代理变量/代理不可达

7.2 抓 TCP 连接(可选)

bash 复制代码
sudo tcpdump -i eth0 -nn host http.kali.org and port 443

8. 最小复盘清单(可复制)

bash 复制代码
# DNS
dig +short http.kali.org
cat /etc/resolv.conf

# 路由
ip route

# 443 可达性
nc -vz http.kali.org 443
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

# 代理
env | egrep -i 'proxy'
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

# 时间
timedatectl

# curl 细节
curl -Iv https://http.kali.org --connect-timeout 10
相关推荐
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智14 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_14 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_9618451514 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
零零信安14 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
程序猿阿伟14 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白14 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G14 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森14 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器