NAT 下“能 ping 不能 curl”:TCP/443 链路排障

天荒地老笑话么2026-02-15 8:42

现象:

ping 1.1.1.1 通

但 curl https://... 失败 / 卡住 / 超时
结论:这通常不是"有没有网"的问题,而是 TCP/443、DNS、代理、MTU、证书/时间 其中之一。

0. 先把问题分成两类:DNS 还是 TCP/443

0.1 跳过 DNS 直连 IP(只判断链路)

bash 复制代码 
curl -I --connect-timeout 5 https://1.1.1.1
  • 如果这里都失败:优先排 TCP/443/MTU/代理/防火墙
  • 如果这里能通,但域名不通:优先排 DNS

1. Step 1:确认 DNS 是否正常(最常见)

1.1 看解析结果

bash 复制代码 
dig +short google.com
dig +short http.kali.org

1.2 看 resolv.conf

bash 复制代码 
cat /etc/resolv.conf

如果 dig 不出结果,先重启网络拿一次 DHCP:

bash 复制代码 
sudo systemctl restart NetworkManager

2. Step 2:确认默认路由与出口网卡

bash 复制代码 
ip a
ip route

你应该能看到:

  • 有一个默认路由:default via <网关> dev <网卡>
  • 网卡通常是 eth0(虚拟机里常见)

3. Step 3:验证 TCP/443 是否能建立连接(不依赖 curl)

3.1 用 openssl 测 TLS 握手(最直观)

bash 复制代码 
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

3.2 或用 nc 验证端口可达

bash 复制代码 
nc -vz http.kali.org 443
  • 如果端口不可达:优先看 代理/VPN/防火墙/MTU
  • 如果端口可达但 curl 失败:优先看 证书/时间/代理环境变量

4. Step 4:检查"代理把你坑了"(NAT 环境最常见之一)

bash 复制代码 
env | egrep -i 'http_proxy|https_proxy|all_proxy|no_proxy'

如果你看到配置了代理,但代理并不可用,临时取消(当前终端会话):

bash 复制代码 
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

再测:

bash 复制代码 
curl -I https://http.kali.org

5. Step 5:检查时间与证书(经常被误判成"网络问题")

bash 复制代码 
timedatectl
date

若 System clock synchronized: no 或时间明显不对:先按 B2-09 修复 NTP,再回来测 curl。

6. Step 6:排 MTU/MSS(VPN/代理/公司网络常见)

6.1 快速测:大包是否丢

bash 复制代码 
ping -c 3 -M do -s 1472 1.1.1.1
  • 若失败:说明路径 MTU 可能更小(常见于 VPN/隧道/NAT 叠加)
  • 可尝试降低测试值(例如 1400、1360)定位阈值

6.2 临时把网卡 MTU 调小(应急)

示例把 MTU 调到 1400(只建议用于定位/临时修复)

bash 复制代码 
sudo ip link set dev eth0 mtu 1400
ip link show eth0
curl -I https://http.kali.org

7. Step 7:抓一把关键证据(最省时间)

7.1 看 curl 细节

bash 复制代码 
curl -Iv https://http.kali.org --connect-timeout 10

你要关注:

  • 卡在 Trying ...:偏连接问题(TCP)
  • 卡在 TLS handshake:偏证书/时间/中间盒
  • 直接报代理:偏代理变量/代理不可达

7.2 抓 TCP 连接(可选)

bash 复制代码 
sudo tcpdump -i eth0 -nn host http.kali.org and port 443

8. 最小复盘清单(可复制)

bash 复制代码 
# DNS
dig +short http.kali.org
cat /etc/resolv.conf

# 路由
ip route

# 443 可达性
nc -vz http.kali.org 443
openssl s_client -connect http.kali.org:443 -servername http.kali.org -brief

# 代理
env | egrep -i 'proxy'
unset http_proxy https_proxy all_proxy HTTP_PROXY HTTPS_PROXY ALL_PROXY

# 时间
timedatectl

# curl 细节
curl -Iv https://http.kali.org --connect-timeout 10
相关推荐
TechWayfarer13 小时前
反爬与反欺诈:如何利用IP定位API接口识别代理流量并降低风险
网络·tcp/ip·安全
Flash.kkl13 小时前
应用层自定义协议与序列化
网络
CDN36013 小时前
游戏盾与支付 / 广告 SDK 冲突:依赖顺序与隔离方案(踩坑实录)
运维·游戏·网络安全
taxunjishu13 小时前
智能仓储无人化管控 Profinet转MODBUS TCP全流程互联
网络·网络协议·自动化
亚空间仓鼠14 小时前
OpenEuler系统常用服务(三)
linux·运维·服务器·网络
vortex514 小时前
从应用层到内核层:SOCKS 代理与 TUN 模式全解析
网络·网络安全·渗透测试
运维儿14 小时前
2.二层网络为什么存在冲突?如何解决冲突和冲突域?
网络·网络协议·linux 网络·云计算网络
REDcker14 小时前
OpenSSL:C 语言 TLS 客户端完整示例
c语言·网络·数据库
hzxpaipai14 小时前
2026 杭州外贸网站制作公司哪家好?派迪科技确实有点技术
前端·科技·网络协议·网络安全
上海云盾-小余14 小时前
服务器被入侵后如何快速止损?从排查到加固的应急处置全流程
网络·网络协议·tcp/ip·安全·web安全
热门推荐
01GitHub 镜像站点02OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程03AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南04Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06【Vulhub】Fastjson 1.2.24_rce复现07Claude Code 未登录 使用第三方模型08UV安装并设置国内源09Oh My Codex 快速使用指南10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)