Отброшенный трафик IP с многосетевым сервером

Вы не показали свою конфигурацию брандмауэра, но я буду держать пари, что существует правило там, это делает что-то неблагоприятное с фильтрацией соединений с внешним IP-адресом изнутри. Плохо завинченный конфигурация NAT могла также быть виновным, но я испытываю затруднения при обеспечении чего-то, таким образом, патологического следующий из обычной попытки конфигурации.

Просто для уточнения одна точка, также: просто, потому что пакет прибывает из одного интерфейса, адресованного IP-адресу другого интерфейса, не заставит ядро отклонять тот пакет. Независимо от того, что происходит, это не отказ ядра.

Кроме того, tcpdump трафика (и во внутренних и внешних интерфейсах сервера, и на клиенте) был бы с помощью диагностики полезен.

Что такое шлюз по умолчанию для Вашей машины разработки? Шлюз по умолчанию, принимающий Коммутатор уровня 3/, Маршрутизатор должен знать, как достигнуть другого интерфейса сервера.

У Вас должно быть что-то как

ip route xxx.yyy.159.36 netmask 255.255.255.240 gw xxx.zzz.109.65

Это должно заставить вещи работать. Но в случае, если это не достаточно, затем включите передачу IP на машине xxx.zzz.109.65 использование

sysctl net.ipv4.ip_forward = 1

Также отредактируйте/etc/sysctl.conf и включите IP, передающий там также.

Удостоверьтесь iptables ВПЕРЕД, цепочка таблицы фильтра на xxx.zzz.109.65 позволяет пакетную передачу для Вашей машины разработки.

Я предполагаю, что Вы используете то поле в качестве своего интернет-маршрутизатора NAT с помощью iptables NAT - очевидно, если это не так затем это не поможет, иначе Вам, вероятно, будет нужно что-то как:

iptables -t nat -I POSTROUTING -s xxx.zzz.109.0/24 -d xxx.yyy.159.36 -j ACCEPT

Это пропустит исходную сетку, которую Вы делаете для пакетов, перемещающихся изнутри во внешнюю сторону для чего-либо предназначенного для внешнего IP того сервера.

Только, чтобы быть анальным я не назвал бы вышеупомянутую конфигурацию сети многосетевой. Это просто передает между двумя сетями в том же AS. Многосетевой в эти дни действительно средства, подключенные к двум или больше соседям (AS) или по крайней мере нескольким маршрутам тому же восходящему соседу (AS), в случае листовой сети с единственным восходящим поставщиком возможности соединения.

Много полезных идей уже дано. Я a) Перепроверил бы, это не брандмауэр/NAT. Добавьте правило ЖУРНАЛА-j перед своим ОТКЛОНЕНИЕМ и ОТБРОСЬТЕ правила и посмотрите, поймано ли что-либо подозрительное. b) Выполнил бы tcpdump в обоих интерфейсах (-i любой) и искал бы Ваши пакеты.

BTW, что точно Вы подразумеваете "под сервером, отказывается от запроса на установление соединения"? Вы видите, что некоторый (непосредственный) отказ обменивается сообщениями, или убирает соединение только время?

Это должно быть проблемой с Вашими правилами брандмауэра. Скорее всего, собственный внешний IP поля становится смешанным в с 'всем внешним трафиком' и так не позволяется назад до внутреннего клиента. Попытайтесь поместить исключение в правила брандмауэра для того IP-адреса; то есть, явно позвольте внешнему IP-адресу веб-сервера отправлять трафик во внутренние сети.

Больше отладки потребует, чтобы Вы отправили свои правила брандмауэра.