防火墙配置中的一次故障排除。
今天去用户处配置防火墙,防火墙架设在用户局域网的出口处,防火墙的外口地址为10.0.32.254,内网网段为192.168.0.0/24,内网里有台web服务器对外提供服务,IP地址为:192.168.0.80。(在此之前用户有一台清华紫光的防火墙,但因为发热量太大,长年需要风扇对着吹,否则就会死机,所以决定购买新的防火墙。)
在配置中,我通过向内的地址映射,把防火墙的外网口地址的80端口映射到内网的服务器192.168.0.80上,同时配置相关的允许访问规则允许外网ip访问内网这台服务器。配置完毕后,上架,测试,发现,内网访问外网一切正常,但从外网访问内网这台服务器的80端口不行,检查配置,没找出问题,于是在防火墙上抓包分析,发现所有外网访问内网服务器的映射都是成功的,但是就是没看到响应返回的包,而从内网访问该服务器一切正常,于是百思不得其解。。
回过头检查服务器的配置,发现服务器配置了两个ip地址,一个就是刚才提到的192.168.0.80,另一个是地址正好是防火墙的外网口地址10.0.32.254,我想会不会是后面这个地址的存在有问题呢,试着把这个地址去掉,测试,访问成功!
询问用户,为何这个服务器还要配一个外网的ip,用户说,因为紫光防火墙不支持地址映射功能,所以给服务器分别配了配了内网和外网的地址。
结论:由于服务器有一个地址与防火墙外口地址相同,防火墙本身类似于一个路由器,所以在防火墙本身来说,发现自己的内口连接的设备的地址与自己外口的地址相同,从路由的角度来说应该是矛盾的,因此也是不允许的。
附件: 您所在的用户组无法下载或查看附件
