某地政府部门A与部门B之间需要建立连接,部门A需要访问部门B的某网站,在部门A与部门B之间使用防火墙进行隔离并使用目的NAT功能。wKioL1kuGCDxD_GjAAA_alf_oCM667.jpg-wh_50

   如图,防火墙左边为部门A,右边为部门B,防火墙由于没有规划互联地址,使用终端网段内一地址作为接口地址,并用此地址作为目的NAT使用。终端访问151接口地址,经过NAT转换后,转为访问部门B服务器。

   防火墙配置完成后,测试PING正常,远程桌面正常,但是WEB访问不通。检查防火墙配置未发现问题,在 部门B网络内访问WEB服务正常。将终端的网关由254改为151后,WEB访问正常,但显示网页的IP地址是B部门服务器的真实地址。

在终端上进行抓包,发现服务器返回的报文内,有重定向的信息,告诉终端访问网页的实际地址。wKiom1kuLkqCQyLmAACZSq8oZFM045.jpg-wh_50

   结果终端不再访问防火墙接口地址,而是直接访问真实地址。核心交换机上并没有此条路由,所以不会通,而将网关指定在防火墙上则不需要路由了,可以访问。此问题无法从网络层面进行解决,只能交给WEB维护人员修改。并不是所有网站都有此种情况,具体何种网站会使用到此技术,本人并不十分了解。大家可以试试,在网页里直接访问www.baidu.com,实际弹出的却是https的页面。

   上述问题,由于防火墙的配置并没有十分严格的做安全策略控制访问,反而帮助了问题的排查定位,否则即使将网关设置为防火墙的接口地址也是不会通的。在实际中,我们还是希望将防火墙的安全策略进行严格配置,只放行需要通过的流量,但为了排错需要,可以临时使用全放行的策略进行排查,在排查完成后一定要关闭此策略。

   最后关于抓包,其实并不是非要把TCP/IP这样的理论书看的多深入才能去看,只要敢于去看,多查查资料,都是可以看出一些东西的。