NAT网络部分客户端无法连接Server的解决方法

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: timestamp&recycle同时开启,引发的nat客户端访问异常的问题

客户端通过NAT连接上网,有的客户端可以访问server端,有的不可以,通过访问固定请求的URL抓包排查和解决问题。

1、http contains "/frontend" 过滤出来客户端请求的这个URL。

nat11

2、跟踪一下流(follow stream),看请求是否正常。
nat2
nat12

3、打开客户端的包,发现请求失败的是重传包,过滤一下 tcp.analysis.retransmission
nat13

可以看到有四次请求重传
思考:
A、不是云盾问题,因为云盾是基于ip的;
B、检查系统内没有云锁之类的软件,iptables也没开;
C、检查系统参数 sysctl –p (-a打印所有)看到有timestamp;

4、对比timestamp
失败的截图
nat51

成功的截图
nat52

成功的timestamp都很大,修改/etc/sysctl.conf文件里面得net.ipv4.tcp_timestamps=0即可

timestamp扩展:
同时开启timestamp(时间戳)和tw_recycle(快速回收),会导致在一个MSL时间内只响应timestamp递增的请求,对于时间戳较小的请求都抛弃了(不响应ack)。

MSL扩展: RFC793中规定MSL为2分钟,也就是说2分钟内同一个ip的请求的时间戳要求递增,不是递增的话服务器不予响应。

快速甄别:使用netstat收集被拒的报文统计
SYNs to LISTEN sockets dropped 所有在syn阶段就拒绝的包
passive connections rejected because of time stamp 因为timestamp校验被拒绝的包

 # netstat -st | egrep -i "drop|reject|overflowed|listen|filter"
    671 ICMP packets dropped because they were out-of-window
    921102 passive connections rejected because of time stamp 注意这里
    14878 packets rejects in established connections because of timestamp
    89113 times the listen queue of a socket overflowed
    3470836 SYNs to LISTEN sockets dropped
    TCPBacklogDrop: 14
    TCPDeferAcceptDrop: 4533
    IPReversePathFilter: 10387
# netstat -st | egrep -i "drop|reject|overflowed|listen|filter"
    671 ICMP packets dropped because they were out-of-window
    921103 passive connections rejected because of time stamp  注意这里,
    14878 packets rejects in established connections because of timestamp
    89113 times the listen queue of a socket overflowed
    3470837 SYNs to LISTEN sockets dropped
    TCPBacklogDrop: 14
    TCPDeferAcceptDrop: 4533
    IPReversePathFilter: 10387
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
目录
相关文章
|
2月前
|
NoSQL 网络协议 Linux
Redis的实现一:c、c++的网络通信编程技术,先实现server和client的通信
本文介绍了使用C/C++进行网络通信编程的基础知识,包括创建socket、设置套接字选项、绑定地址、监听连接以及循环接受和处理客户端请求的基本步骤。
56 6
|
2月前
|
Ubuntu 网络安全 图形学
Ubuntu学习笔记(二):ubuntu20.04解决右上角网络图标激活失败或者消失,无法连接有线问题。
在Ubuntu 20.04系统中解决网络图标消失和无法连接有线网络问题的方法,其中第三种方法通过检查并确保Windows防火墙中相关服务开启后成功恢复了网络连接。
667 0
Ubuntu学习笔记(二):ubuntu20.04解决右上角网络图标激活失败或者消失,无法连接有线问题。
|
24天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
68 2
|
1月前
|
运维 负载均衡 安全
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
2月前
|
网络协议 Java API
【网络】TCP回显服务器和客户端的构造,以及相关bug解决方法
【网络】TCP回显服务器和客户端的构造,以及相关bug解决方法
65 2
|
2月前
|
存储 网络协议 Java
【网络】UDP回显服务器和客户端的构造,以及连接流程
【网络】UDP回显服务器和客户端的构造,以及连接流程
56 2
|
2月前
|
安全 区块链 数据库
|
3月前
|
网络协议 C语言
C语言 网络编程(十)TCP通信创建流程---客户端
在TCP通信中,客户端需通过一系列步骤与服务器建立连接并进行数据传输。首先使用 `socket()` 函数创建一个流式套接字,然后通过 `connect()` 函数连接服务器。连接成功后,可以使用 `send()` 和 `recv()` 函数进行数据发送和接收。最后展示了一个完整的客户端示例代码,实现了与服务器的通信过程。