关于linux多网卡网络异常的问题。

chenyx

会不会是防火墙上做策略路由了

itssolei

回复 11# chenyx 但是关掉eth0后，eth1就正常了


   

chenyx

应该还是路由的事情,你的两个网卡设置成同一个网段,不好办啊

yzkarchive

到相对外网封闭的内网设置静态路由，从eth1走

itssolei

回复 14# yzkarchive
正解！
{:3_196:} 是我搞错了，那路由是我头天加的，现在想起来了。错怪防火墙君了{:3_194:}
能给讲讲原理吗？另外在防火墙上加静态路由可以通吗？eth0和eth1合并为一块配两个IP，不加静态路由能通吗？
望解答！

dooza

你的两个网卡设置成同一个网段，有问题的！

yzkarchive

回复 15# itssolei

1：防火墙上做路由策略有问题的，你ping可以ping通，但是仍然是从eth0发出的，不符合你的业务规划，如果应用对源地址有要求，回来的包不能正确解析。

2：两个网卡做绑定，在防火墙上做策略是可以实现的，但仍然要考虑应用的问题


   

itssolei

回复 17# yzkarchive 哦,大概明白了。
那您看这样可不可以：只用一块网卡，配一个IP。然后在防火墙上把公网地址和内部数据网地址都映射到这一个IP上，这样可以通吗？防火墙和linux虚拟机还需要做静态路由吗？这样会不会对内部数据网的安全造成威胁？

chenyx

我觉得你这样本身就不安全,如果内网有机密数据,肯定要做物理隔离的

itssolei

回复 19# chenyx
没有绝对的安全啊，权衡各方面情况再决定要应用具体哪个方案。
我想说的是一个网卡，一个IP安全性是不是相比现行方案低的离谱。
话说米军神技术，物理隔离照样可以从目标获取数据{:3_196:}