笔者在《若何区分国内上网情形平分歧的酬报收集故障》中曾经介绍过酬报收集故障的多种体例，但近阶段又发现呈现了新型的酬报收集故障，此文将为巨匠进话旧绍这种新型的酬报收集故障。

工作的原由是在前几天公司在海外的处事器工作不正常，国内用户访谒该处事器上的网站要么只显示一个问题，然后一向处于加载之中，要么就是无法毗连各处事器。经由自己的试验，发现一旦访谒了处事器的网站（或者毗连了处事器的SSH），五分钟之内便无法和处事器进行通信，五分钟之内PING全数超时，过了五分钟后恢复。而且经常是网页传输到一半就无法和处事器进行通信了，所以呈现了有时辰网站要么只显示一个问题，然后一向处于加载之中，有时辰无法毗连各处事器的情形。如不美观五分钟后再次访谒处事器上的网站，则此现象就再次一再呈现。

为此，为了诊断故障原因，在无法访谒处事器的五分钟内，封锁了处事器的iptables并使用了路由跟踪工具，结不美观如下：

通衢由跟踪的结不美观发现，最后一跳是74.117.63.66，发芽IP地址的地舆位置显示此IP地址地为美国，经由《若何区分国内上网情形平分歧的酬报收集故障》文中介绍的体例判定，似乎问题出在美国的收集部门。为此，和美国处事器供给商进行了联系，同时供给了路由跟踪结不美观。不外，供给商那儿那里经由搜检并没有设置过任何屏障IP的机制（搜罗按照访谒后屏障五分钟的机制），需要排查国内自己当地收集的问题。

经由思虑，猜想是否有可能是防火墙进行了反向屏障：如不美观收集数据包中的源IP为国内，方针IP在国外，则放行；如不美观收集数据包中的源IP为国外五分钟内姑且被屏障的IP，方针IP为国内，防火墙则丢弃该数据包。如不美观是这样，也就能诠释通为什么最后一跳是在美国，但却是防火墙的屏障。因为国内发往国外的数据包永远被放行，所以海外处事器可以收到数据包，而在前13跳中返回数据包的IP地址都不在防火墙的黑名单之内，所以TTL超时的数据包模拟仍是可以发还国内的IP地址（路由跟踪工具的事理就是每次TTL加一，每次经由路由器则TTL减一，如不美观减到零那么路由器会发送TTL超时的数据包给源IP）。最后一跳之后因为海外的IP地址被屏障，则数据包无法送达国内的IP地址。这么诠释就可以诠释得通为什么最后一跳在美国，但却是防火墙的屏障了。

但猜测归猜测，证据在哪里呢？

为此，使用了其他代办代庖工具毗连上处事器的SSH，在被姑且屏招罾υ分钟内反向路由追踪国内无法访谒网站的IP地址，结不美观如下：

年夜反向路由追踪结不美旁观，最后一跳是202.97.33.101，地舆位置发芽该IP属于“上海市 电信主干网”，年夜而验证了猜测。而反向追踪的第一跳74.117.63.66又正好是正向路由追踪中的最后一跳，又再次验证了猜想中的正向路由追踪中的最后一跳之后的IP地址（也就是处事器的IP地址）被屏障的情形。至此，问题已经明晰。

之后，又再次在五分钟姑且被屏障的时刻内反向追踪了上海的其他IP地址，显示可以正常访谒，并不影响处事器访谒国内的网站，只有国内的IP地址首先对国外被屏障的IP地址倡议通信才能触发被五分钟姑且屏障：

而《若何区分国内上网情形平分歧的酬报收集故障》中介绍的经由过程国内IP路由跟踪国外IP进行判定是国内酬报的收集故障仍是海外的收集故障在一些情形中将不再合用。

文：月光博客 作者：DavidSky

注：相关网站培植技巧阅读请移步到建站教程频道。