我有一个双重的Linux防火墙/路由器设置连接到2个不同的上游提供商。 在内部,默认路由是使用vrrp的故障转移。
设置看起来像这样。 路由通过BGP提供给路由器。
Provider A (xxx57) - Router 1 [WAN](xxx58) [LAN](aaa130/128) +----- VRRP (aaa129/128) [default gw] Provider B (yyy61) - Router 2 [WAN](yyy62) [LAN](aaa131/128) 一切正常。
但是,我注意到,当路由器1是VRRP的主设备时,aaa131不能从通过提供者A路由的客户端ping。同样,如果路由器2是主设备,我们也不能ping aaa130。 我也不能ssh到那个地址。 但我可以随时ssh或ping两个路由器的WAN端。 由于当路由器1是主设备时,我可以到达路由器2的广域网接口,并且转发function打开,所以当它不是主设备时,如何不能直接到达同一路由器的局域网侧?
那会是什么原因?
回答我自己的问题。 我发现以下有关反向path过滤的链接非常有帮助。 在下面的build议,我设法解决我遇到的问题。
禁用复杂networking中的反向path过滤