Linux网络排障需按ip link→ip addr→ip route顺序检查L2/L3状态与路由，注意netfilter hook点、default路由仅首条生效、tcpdump接口选择及各层隐式干预。

Linux 网络栈不是黑盒，但直接看 net/ 源码不现实；真正影响日常排障和配置效果的，是数据包在用户空间、内核协议栈、驱动、物理介质之间的流转路径和关键控制点。

网卡 up 了但 ping 不通？先确认 ip link 和 ip addr 的状态含义

ip link 显示的是链路层（L2）状态：UP 表示驱动已加载、硬件已启用、MAC 地址已分配；LOWER_eth0 类似标记说明物理连接可能断开（如网线未插）。而 ip addr 显示的是网络层（L3）配置：是否有合法 inet 地址、是否 scope global、是否被 deprecated 标记（比如 IPv6 临时地址过期后仍存在但不可用）。

• 常见误判：看到 state UP 就以为网络通了，其实可能没配 IP 或子网掩码错（如写成 /32 却没加路由）
• 检查顺序建议：ip link show eth0 → ip addr show eth0 → ip route show
• ip addr flush dev eth0 后必须手动 ip addr add + ip link set up，不能只依赖 ifconfig eth0 up（该命令不处理地址）

iptables 和 nftables 规则为什么有时不生效？关键在 hook 点和优先级

规则是否命中，取决于数据包经过的 netfilter hook 点（如 PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING）以及该链上规则的匹配顺序。现代内核中，nftables 是默认后端，iptables 实际是兼容层封装，二者共用同一套 hook 和 conntrack 机制。

• 最常踩的坑：iptables -A INPUT -j DROP 会立刻阻断所有新连接（包括 SSH），且没有隐式允许 ESTABLISHED；应加 -m state --state ESTABLISHED,RELATED -j ACCEPT 在前
• nft list ruleset 能看到完整规则树，比 iptables -L -v -n 更直观反映实际执行顺序
• 本地进程发包走 OUTPUT 链，不是 INPUT；目标为本机的入包才进 INPUT

路由表里出现多条 default via？Linux 默认只用第一条，除非配置策略路由

内核路由子系统对 default 路由的处理是“最长前缀匹配 + 第一条胜出”，不会自动负载均衡或故障转移。即使你用 ip route add default via 192.168.1.1 和 ip route add default via 192.168.2.1 加了两条，默认只走第一条；第二条始终闲置，除非第一条被 ip route del 删除。

• 真要多出口冗余，得用 ip rule + 多张路由表（如 table 100、table 101）配合源地址选择或 fwmark
• ip route get 8.8.8.8 是验证当前实际选路的最简方式，它模拟查找过程并返回真实下一跳和出接口
• 注意 metric 值：同网段多条直连路由时，metric 小的优先；但对 default 路由，metric 不影响默认选第一条的行为

tcpdump 抓不到包？可能是方向、接口或内核过滤点不对

tcpdump 默认监听在指定接口的 AF_PACKET 层，抓的是进入/离开该接口的原始帧。这意味着：本地生成的包在 OUTPUT 链处理前就已被捕获；而转发包若不显式指定桥接接口（如 br0）或使用 any，很可能漏掉。

• 抓本机发往外部的包：tcpdump -i eth0 host 8.8.8.8
• 抓本机收到的包（含回环）：tcpdump -i any host 127.0.0.1 或 tcpdump -i lo
• 抓转发流（如做网关）：tcpdump -i br0（而不是物理口 eth0），或确认 sysctl net.bridge.bridge-nf-call-iptables=0 否则可能被 netfilter 提前丢弃
• 加 -nn -vvv 可看 TCP 状态标志、窗口、时间戳等细节，比默认输出更有诊断价值

ip route show table local | grep ^broadcast
# 查看本地广播路由，确认是否覆盖了预期网段
ip -s link show eth0 | grep -A 3 "RX:"
# 看接收错误计数（dropped/overrun），区分是驱动丢包还是上层丢包

真正卡住问题的，往往不是“怎么配”，而是没意识到某层（比如邻居子系统、conntrack 状态、bridge fdb 表）正在悄悄干预数据流。抓包 + 查状态 + 模拟路由，三者缺一不可。

# linux  # table  # input  # default  # 接口  # 封装  # 子网  # 为什么  # 路由  # 栈  # mac  # 后端  # ipv6  # 多条  # 隐式  # 已被  # 更有  # 意识到  # 数据包  # 本机  # 的是  # 第一条  # 负载均衡  # ssh  # tcpdump  # 很可能