作为一个攻城狮经常遇到些稀奇古怪的问题,这里分享一个最近遇到的古怪问题及其处理方法。
环境
客户当前外网网关是一台防火墙,防火墙有DMZ区域,该区域中有两台服务器(网关为防火墙,并且中间无除交换机外任何其他设备),防火墙LAN口接核心交换机,内网网段都在核心交换机上(网关为核心交换机),客户数据库服务器在内网,web服务器在DMZ区域,并且发布到外网。
简单来说就是一个很常见的拓扑。然而就是这样一个简单的网络却出现了问题。
问题描述
最早出现问题的时候是几个月之前了,客户告诉我我们另外一个地方的分公司无法访问到他们的网站,我从多个地方进行测试都可以正常访问,唯独他们分公司无法访问到,我在防火墙上抓包发现从他们分公司过来的包并没有被防火墙拦截,已经正常被防火墙转发,但是服务器没有回包。这种情况判断一般就是服务器的问题,但是客户没有排查到问题,无奈我在防火墙上做了一个NAT转换,将客户分公司过来的流量转换为了防火墙DMZ的接口IP,经过转换之后就可以正常访问。
第二次出现问题是近一个星期,客户发现分支那边又没办法访问到他们网站,检查发现又是和之前一模一样的问题,即使NAT还在正常生效,但是服务器就是不回包。无论我开启NAT还是关闭NAT都一样。此时我将NAT转换的地址修改为了DMZ网段一个别的IP之后,又可以正常访问。感觉就像是有个黑名单,访问到一定量之后就会拉黑这个IP。
但是可能是由于之前转换的是防火墙接口IP,由于被服务器“拉黑”还导致了另外一个问题——服务器现在没办法ping到防火墙,也没办法访问到内网数据库服务器了。
问题处理
ping防火墙接口IP以及ping内网数据库服务器结果与之前他们分公司的访问类似,防火墙上压根就没收到那个服务器发出来的数据包。之后做了一些测试,测试结果如下:
- web服务器上外网正常
- 服务器可以访问同网段其他服务器
- 同网段其他服务器可以访问该服务器
- 防火墙无法ping到该服务器
- 防火墙上无法收到来自该服务器的相关数据包(例如ping防火墙或者内网数据库服务器的ping包或者tcp包)
最后,基于服务器“黑名单”的判断,我修改了防火墙IP,修改后服务器对防火墙的访问恢复正常,但是仍然无法访问到内网数据库服务器(推测修改数据库服务器IP可能就可以访问到了)
客户自己尝试修改了服务器IP,但是没效果,客户使用电脑改为服务器当前IP,接上服务器网线去访问内网数据库服务器、防火墙等一切正常,证明就是服务器而非防火墙的问题。
最终解决:
客户那边后来换了一个工程师进行排查处理,最终发现是服务器本地安全策略的问题,具体策略位置如图:
在本地安全策略中有一个IP安全策略(这张图片已经删除了有问题的策略):
问题策略如下图,有一个叫serversec的策略,不知道是人为设置的还是原本就有的,里面是一个动态的IP筛选,具体不知道是什么机制,但是这个策略就是造成其他那些地址无法访问的元凶。删除这条策略之后一切恢复正常,服务器可以正常访问到防火墙以及内网数据库服务器。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
