防火墙的坑

一、缘 起

公司有一台闲置的Linux服务器，笔者欲用其部署Jenkins，怎奈这台服务器竟然不能访问外网（可以连外网），结果从头到尾就是防火墙的坑啊

二、现 象

服务器连无法访问外网的表现是：

# ping 本机
[root@eduapp ~]# ping 10.2.xx.xxx
PING 10.2.18.170 (10.2.xx.xxx) 56(84) bytes of data.
64 bytes from 10.2.xx.xxx: icmp_seq=1 ttl=64 time=0.030 ms
64 bytes from 10.2.xx.xxx: icmp_seq=2 ttl=64 time=0.011 ms

# ping网关
[root@eduapp ~]# ping 10.2.xx.x
PING 10.2.xx.x (10.2.xx.x) 56(84) bytes of data.
64 bytes from 10.2.xx.x: icmp_seq=1 ttl=255 time=1.99 ms
64 bytes from 10.2.xx.x: icmp_seq=2 ttl=255 time=0.699 ms

# ping百度
[root@eduapp ~]# ping baidu.com
PING baidu.com (123.125.115.110) 56(84) bytes of data.

三、解 决

ping 本机和网关都能通，说明网线没问题，并且能上内网，ping百度不通我的第一反应是网络信息配置有问题，然后查看网络配置，发现IP地址、网关、DNS都没问题，但是还是无法访问外网

# 查看网络配置
[root@eduapp ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0

继续百度，查询原因，有人说

/etc/sysconfig/network-scripts/ifcfg-eth0中GATEWAY中的地址和/etc/sysconfig/network中GATEWAY中的地址不一致导致
—— 来自《解决linux不能上外网》

于是笔者看了一下这台服务器的，确实不一致，欣喜若狂的，以为解决了问题，然而，还是老样子~~~，最后，极尽放弃下，试了一下防火墙状态

[root@eduapp ~]# service iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  10.8.0.0/16          0.0.0.0/0
2    ACCEPT     all  --  10.2.0.0/16          0.0.0.0/0
3    ACCEPT     all  --  10.8.0.0/16          0.0.0.0/0
4    ACCEPT     all  --  127.0.0.0/24         0.0.0.0/0
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
6    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:5900:5903

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

防火墙是开着的，不对啊，明明之前设置的永久关闭，为什么会开呢，于是，我关闭了防火墙，ping了一下百度，通了，当时差点。。。

[root@eduapp ~]# service iptables stop
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Unloading modules:                               [  OK  ]
[root@eduapp ~]# ping baidu.com
PING baidu.com (220.181.57.216) 56(84) bytes of data.
64 bytes from 220.181.57.216: icmp_seq=1 ttl=49 time=5.17 ms
64 bytes from 220.181.57.216: icmp_seq=2 ttl=49 time=5.27 ms
64 bytes from 220.181.57.216: icmp_seq=3 ttl=49 time=4.52 ms
64 bytes from 220.181.57.216: icmp_seq=4 ttl=49 time=4.63 ms
^C
--- baidu.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3176ms

四、参 考

1. Linux中/etc/resolv.conf文件简析
2. linux 网络配置 (配置/etc/sysconfig/network-scripts/ifcfg-ethx)
3. Linux中ping不通外网

~
~
~

---

不积跬步，无以至千里