本帖最后由 新手148744 于 2023-8-14 17:26 编辑
客户问题现象描述:
用户自述终端上网正常,但某聊天软件登录二维码无法刷新。手机端及园区其他兄弟单位该软件正常,开直通未发现拦截日志,需协助排查。
看这描述,确实明显是有拦截啊,但没拦截日志很奇怪。决定远程先看下策略,抓包排查。
排查步骤:
1.测试连通性。防火墙能ping同目标域名IP,也能telnet通目标IP和端口。看样子确实不像有策略拦截
2.模拟匹配策略,匹配正确,也是放通状态。而且后来在防火墙加了白名单,也是放通状态。 3.顺手在电脑端telnet目标IP、端口,不通!!ping了下目标域名,不通。(嗯?AF通,PC不通?!感觉找到了问题原因……实时证明我还是想简单了)询问客户内网是否有其他拦截设备,PC端防火墙关没关。答有个AC,没关防火墙。 4、尝试关闭PC端防火墙、AC开直通。结果故障现象依旧…… 5、客户是AF双机主备、AC双主场景。查看客户双机状态,双机状态正常,切最近未发生过主备切换。
6、抓包查看,有重复数据包,且数据包端口重复。报错信息:A new tcp session is started with the same ports as an earlier session in this trace #新的tcp会话使用与早期会话相同的端口启动。(后来在网上查相关资料,没查到有用信息)。
wireshark AF出口域名+443端口
AF抓包目标地址443端口
7.到此排查陷入僵局。。。正在束手无措的时候,想到客户说”其他用户访问正常,手机端正常“和客户讨论,基本上可以确定本地策略无拦截,问题应该是出在外网上。
8、客户就一个外网线路,但是有两个外网IP。于是尝试做源地址转换,指定客户PC走另外一个IP作为出口。终于,二维码刷新正常了!让客户联系对方服务器端的运维人员,人家回复说是检测到这边外网IP有攻击行为。为保险起见,把出口IP拉入黑名单了!!!
小结:
1、根据“局部无法访问的”的问题现象,确定排查应用控制策略没错,但忽略了“数据访问数双向的",本端没问题的时候,那问题就是出在对端了。
2、本次需要吸取的教训是:不要因为终端能上外网,就理所当然的认为外网访问都是正常的!! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-16 08:21
工程师2级 
