單網(wǎng)卡雙ip的端口綁定的奇怪問題

deadcat

現(xiàn)在問題是這樣,我在redhat9的一個網(wǎng)卡上邦定了
eth1:   1.2.3.4  教育網(wǎng)
eth1:1 :5.6.7.8  網(wǎng)通

然后開了apache 80端口,apache并沒有綁定ip,只是在http.conf中指定了80端口,但就我在服務(wù)器上telnet實驗來看,
可以telnet 1.2.3.4的80端口,但是連不上5.6.7.8的端口,估計是默認(rèn)邦定到1.2.3.4ip上了,不過在服務(wù)器上運行下面命令,他指出是0.0.0.0不知有什么深層含義
# netstat -an|grep 80

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN


不好意思下面說的可能比較混亂,我把現(xiàn)象和我的判斷可能會混到一塊,我真的暈了...

現(xiàn)在在apache上邦定了設(shè)置了兩個虛擬主機,名字是1.2.3.4:80
<VirtualHost 1.2.3.4:80>
DocumentRoot /var/www/html/cdir
ServerName  a.com
    RewriteRule /list([0-9]+).shtml http://a.com/list.php?$1 [P]

</VirtualHost>
<VirtualHost 1.2.3.4:80>
DocumentRoot /var/www/html/cdir
    RewriteRule /list([0-9]+).shtml http://b.com/list.php?$1 [P]
ServerName  b.com
</VirtualHost>
然后將域名
a.com指向1.2.3.4
b.com指向5.6.7.8

下面說現(xiàn)象:
網(wǎng)通用戶通過b.com訪問的話,有的可以訪問到,有的不可以,現(xiàn)在都沒辦法定位原因...如果不能訪問,apache日志會出現(xiàn)
(110)!!!!!!!!: proxy: HTTP: attempt to connect to 5.6.7.8:80 (b.com) failed
[error] (110)Connection timed out: proxy: HTTP: attempt to connect to5.6.7.8:80 (b.com) failed
顯然它試圖去連接5.6.7.8的80端口,必然應(yīng)該連不上的,因為我在服務(wù)器上都連不上5.6.7.8的80


現(xiàn)在奇怪的是:
1,為什么有的網(wǎng)通用戶可以連接而有些不可以,應(yīng)該不是用戶那邊防火墻的原因,畢竟端口是80
2,后來想想我設(shè)置也有問題,5.6.7.8沒在80端口監(jiān)聽,我將b.com解析到這個ip不是一定會訪問不到嘛,可是有的網(wǎng)通用戶卻訪問到了...
3,為什么上面的錯誤信息會出現(xiàn)在apache的日志里呢?難道是apache代理訪問? 這就更暈了,首先我搞不明白mod_proxy模塊到底怎么工作的,其次mod_proxy也沒有激活,只是配置文件里加載了.so文件而已,應(yīng)該不會起作用把?
4, 我在教育網(wǎng)(另外一個高校的教育網(wǎng))telnet 5.6.7.8的80端口是,結(jié)果是--竟然連上了!  這個就更讓我暈了...為什么可以連上?服務(wù)器本地連不上,部分網(wǎng)通用戶都連不上,我在教育網(wǎng)為什么連上了? 5.6.7.8的80端口到底是算開了還是沒開呢??



還請不吝賜教非常感謝!!!CU現(xiàn)在可以送分了呵呵,送100吧!

[ 本帖最后由 deadcat 于 2007-3-12 09:09 編輯 ]

springwind426

給你一個思路：

如果可能，將防火墻停止，然后在本機 ping 5.6.7.8看看是不是通

還有，按照你的路由信息，那么外網(wǎng)用戶訪問5.6.7.8的時候，都是通過1.2.3.2這個網(wǎng)關(guān)發(fā)送數(shù)據(jù)包的。正常情況下你應(yīng)該讓教育網(wǎng)的用戶走這個網(wǎng)關(guān)，而其他用戶走網(wǎng)通的網(wǎng)關(guān)（也許電信用戶也應(yīng)該走教育網(wǎng)的網(wǎng)關(guān)，因為電信和網(wǎng)通互聯(lián)是個問題）

你可以在機器上使用策略路由，使得訪問1.2.3.4的時候走教育網(wǎng)的網(wǎng)關(guān)，訪問5.6.7.8的時候走網(wǎng)通的網(wǎng)關(guān)（不管來源在哪兒）
ip route add default via 網(wǎng)通網(wǎng)關(guān) table 100 src 5.6.7.8
ip route add default via 教育網(wǎng)網(wǎng)關(guān) table 200 src 1.2.3.4

ip rule add from 1.2.3.4 table 200
ip rule add from 5.6.7.8 table 100

這樣設(shè)置以后，就可以各走各的道了

還有，你的防火墻策略上有：
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
你試試改成 -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

還有，你的INPUT鏈的策略是DROP
那么你應(yīng)該添加一條規(guī)則
iptables -A INPUT -i lo -j ACCEPT，這樣在本機ping本機的任何IP的時候才能暢通無阻。

還有，不知道你的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，我只是奇怪，你在一個物理網(wǎng)卡上綁定兩個ISP的IP地址，怎么會這樣？

按道理，教育網(wǎng)和網(wǎng)通是隔絕的，難道你是將教育網(wǎng)的入口和網(wǎng)通的入口線接到同一個HUB上了？

platinum

貼一下執(zhí)行下列命令后得到的內(nèi)容
# ifconfig -a
# ip r
# iptables-save

deadcat

不好意思老大出于安全考慮我把ip都替換了一下,ip對應(yīng)關(guān)系沒變,比如1.2.3.4和1.2.3.2是同一網(wǎng)段的
如果需要真實信息再短信聯(lián)系,謝謝

ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:0BB:E7:83:2F
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:17

eth1      Link encap:Ethernet  HWaddr 00:0BB:E7:83:30
          inet addr:1.2.3.4  Bcast:1.2.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29232722 errors:0 dropped:0 overruns:0 frame:3
          TX packets:28982203 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:673017438 (641.8 Mb)  TX bytes:3795027782 (3619.2 Mb)
          Interrupt:18

eth1:1    Link encap:Ethernet  HWaddr 00:0BB:E7:83:30
          inet addr:5.6.7.8  Bcast:5.6.7.255  Mask:255.255.255.192
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29232722 errors:0 dropped:0 overruns:0 frame:3
          TX packets:28982203 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:673017438 (641.8 Mb)  TX bytes:3795027782 (3619.2 Mb)
          Interrupt:18

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:40060958 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40060958 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3559556462 (3394.6 Mb)  TX bytes:3559556462 (3394.6 Mb)



ip r
5.6.7.6/26 dev eth1  proto kernel  scope link  src 5.6.7.8
1.2.3.0/24 dev eth1  scope link
169.254.0.0/16 dev eth1  scope link
127.0.0.0/8 dev lo  scope link
default via 1.2.3.2 dev eth1



*filter
:INPUT DROP [17478:1506600]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [66407674:23767507507]
ORT01_IN - [0:0]
ORT01_OUT - [0:0]
ORT02_IN - [0:0]
ORT02_OUT - [0:0]
ORT03_IN - [0:0]
ORT03_OUT - [0:0]
ORT04_IN - [0:0]
ORT04_OUT - [0:0]
ORT05_IN - [0:0]
ORT05_OUT - [0:0]
:PORT06_IN - [0:0]
:PORT06_OUT - [0:0]
:PORT07_IN - [0:0]
:PORT07_OUT - [0:0]
:PORT08_IN - [0:0]
:PORT08_OUT - [0:0]
:PORT09_IN - [0:0]
:PORT09_OUT - [0:0]
:PORT10_IN - [0:0]
:PORT10_OUT - [0:0]
:PORT11_IN - [0:0]
:PORT11_OUT - [0:0]
:PORT12_IN - [0:0]
:PORT12_OUT - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.0/255.255.255.0 -j ACCEPT
-A INPUT -s 1.2.3.2 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 47 -j ACCEPT
-A INPUT -p 47 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j PORT03_IN
-A OUTPUT -p tcp -m tcp --sport 80 -j PORT03_OUT
COMMIT
# Completed on Sun Mar 11 21:52:17 2007
# Generated by iptables-save v1.2.7a on Sun Mar 11 21:52:17 2007
*nat
:PREROUTING ACCEPT [620661:34213933]
:POSTROUTING ACCEPT [880194:53435164]
:OUTPUT ACCEPT [880194:53435164]
COMMIT

pangty

1、0 0.0.0.0:80 是指在本機所有網(wǎng)絡(luò)接口的80端口進行偵聽。

2、檢查你的apache配置文件：
NameVirtualHost 1.2.3.4
NameVirtualHost 5.6.7.8

<VirtualHost 1.2.3.4:80>
DocumentRoot /var/www/html/cdir
ServerName  a.com
    RewriteRule /list([0-9]+).shtmlhttp://a.com/list.php?$1 [P]

</VirtualHost>
<VirtualHost 5.6.7.8:80>
DocumentRoot /var/www/html/cdir
    RewriteRule /list([0-9]+).shtmlhttp://b.com/list.php?$1 [P]
ServerName  b.com
</VirtualHost>

然后在服務(wù)器上用任何一個瀏覽器訪問一下上述兩個域名的http服務(wù)，比如lynx a.com，lynx b.com

3、建議檢查一下路由表和防火墻規(guī)則的設(shè)置，可以先把防火墻規(guī)則都清空測試一下。

[ 本帖最后由 pangty 于 2007-3-11 22:04 編輯 ]

deadcat

謝謝,原來VirtualHost 1.2.3.4:80名字中的ip是有實際意義的,明天讓外面的朋友再幫忙測一下,防火墻還不敢清空,機器在外地,萬一寫錯了....
現(xiàn)在我在服務(wù)器上ping 5.6.7.8都ping不通,看來根apache沒關(guān)系?好像virtualhost不改他一樣找到了5.6.7.8但是就是連不上? 可奇怪的是有的能連上有的連不上 ,本地自己都連不上別人卻可以連上...本地連不上是不是因為它用教育網(wǎng)的ip去聯(lián)結(jié)網(wǎng)通的ip會出問題? 也不應(yīng)該呀 默認(rèn)網(wǎng)關(guān)是1.2.3.4那個網(wǎng)段的

可防火墻的規(guī)則也不至于限制本機的吧,上面我貼的應(yīng)該是所有的規(guī)則了吧?

platinum

奇怪，你頂樓說 eth0 是 1.2.3.4，eth1 是 5.6.7.8
但后面配置貼出來的卻是 1.2.3.4 和 5.6.7.8 都在物理網(wǎng)卡 eth1 上
防火墻雖然很亂，但不足以造成這個影響

llzqq

檢查一下網(wǎng)關(guān)的設(shè)置

[ 本帖最后由 llzqq 于 2007-3-12 07:45 編輯 ]

ipv6ok

首先你的虛擬主機設(shè)置是不對的。<VirtualHost 1.2.3.4:80>
這里指的是listen的主機IP。按你的意思是這是教育網(wǎng)的。而你原來的配置也就是一樓貼出來的。
二個虛擬主機都指向了<VirtualHost 1.2.3.4:80>!!!
所以正確的配置是像4樓那個配置就正確了。用域名來配置�。�！
第二個錯誤：就是版主所說的一樣，你的IP設(shè)置不對，本來你的意思是eth0是教育網(wǎng)的IP，eth1是網(wǎng)通的IP。但是你設(shè)置成了eth0無IP。eth1IP是教育網(wǎng)IP。eth1綁定了二個IP。�。�
解釋：
1:proxy模塊，你完全可以不要用。用#號搞掉好了，這個是用來把apaceh配置成http代理用的模塊。

[ 本帖最后由 ipv6ok 于 2007-3-12 08:54 編輯 ]

deadcat

原帖由 platinum 于 2007-3-11 23:00 發(fā)表于 6樓  
奇怪，你頂樓說 eth0 是 1.2.3.4，eth1 是 5.6.7.8
但后面配置貼出來的卻是 1.2.3.4 和 5.6.7.8 都在物理網(wǎng)卡 eth1 上
防火墻雖然很亂，但不足以造成這個影響

實在實在抱歉 ,昨天太慌eth0習(xí)慣性的給加上ip了。。。
eth1:   1.2.3.4  教育網(wǎng)
eth1:1 :5.6.7.8  網(wǎng)通
原貼已經(jīng)改正