問題描述

服務(wù)器系統(tǒng)內(nèi)核沒有禁ping的情況下，客戶端ping服務(wù)器ping不通。

問題原因

服務(wù)器系統(tǒng)內(nèi)部防火墻策略對(duì)客戶端進(jìn)行了ban設(shè)置。

解決方案

開始排查

1. 登錄服務(wù)器，執(zhí)行以下命令，進(jìn)行抓包準(zhǔn)備。
   tcpdump -i eth0 host [$Eth0_IP] | grep ICMP

   說明：[$Eth0_IP]為eth0網(wǎng)卡的IP地址。

2. 登錄客戶端，執(zhí)行以下命令，測(cè)試客戶端和服務(wù)器的連通性。
   ping [$Server_IP]

   說明：[$Server_IP]為服務(wù)器的公網(wǎng)IP地址。

排查結(jié)果分析

1. 在服務(wù)器中，出現(xiàn)以下抓包結(jié)果，可以看到客戶端以5秒一次的頻率進(jìn)行數(shù)據(jù)包的發(fā)送動(dòng)作，但是服務(wù)器端沒有發(fā)出響應(yīng)包。
   
2. 分析可能是服務(wù)器的防火墻或第三方安全軟件進(jìn)行了ban設(shè)置。
3. 登錄服務(wù)器，執(zhí)行以下命令，查看防火墻配置信息。
   iptables -nL --line-number

   以下是詳細(xì)配置信息，可以看到防火墻對(duì)客戶端的數(shù)據(jù)包采用了了DROP策略，因此服務(wù)器無法對(duì)客戶端的數(shù)據(jù)包進(jìn)行響應(yīng)。
   

解決方法

本文提供了關(guān)閉防火墻和刪除對(duì)應(yīng)的屏蔽規(guī)則兩種方法，以下是詳細(xì)信息。

關(guān)閉防火墻

登錄服務(wù)器，在現(xiàn)場(chǎng)環(huán)境條件允許的情況下，可執(zhí)行以下命令，臨時(shí)關(guān)閉防火墻。

systemctl stop firewalld

刪除屏蔽規(guī)則

登錄服務(wù)器，執(zhí)行以下命令，刪除防火墻中對(duì)應(yīng)的屏蔽規(guī)則。

iptables -D INPUT -s [$Client_IP] -j DROP

說明：[$Client_IP]為客戶端IP地址。

結(jié)果驗(yàn)證

1. 登錄客戶端，執(zhí)行以下命令，確認(rèn)客戶端可以成功ping通服務(wù)器。
   ping [$Server_IP]

2. 登錄服務(wù)器，獲取以下抓包信息，確認(rèn)服務(wù)器已返回響應(yīng)信息。
   
如果您有其他問題，可以聯(lián)系北京志遠(yuǎn)天成阿里云代理商，為您提供一對(duì)一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會(huì)員，均可享受我公司代理商價(jià)格，歡迎咨詢！