AC 防火墙过滤规则不生效排错分享
  

婷哥哥 Lv9发表于 2018-8-2 09:42

今天上午接到一个故障保障,故障现象:防火墙过滤规则不生效,怎么办,开远程喽
对话略,依旧是根据对话整理出拓扑环境
621065b615f2aa5464.png
环境需求:客户在内网有台服务器,通过防火墙的端口映射映射出来供外网的用户进行访问,但是只是在规定的时间内可以访问,也就是在一定的时间内外网的用户是不可以通过公网访问这台服务器的,实现方式就是通过防火墙的过滤规则实现,来看下配置
945815b6160728ee28.png
123这条,没问题吧,方向没问题,时间也没问题。
配置没问题,但是顺序有问题呀,我们知道AC的匹配顺序是从上往下的,这个123在第三条肯定匹配不上他,好吧,往上移,移到第一个,正常情况下移到第一个应该就生效了,但是事情还没完,移动过之后,策略生效了,但是。。。。。。
我远程断开了,同时我尝试公网访问他们的服务器,没问题,也就是说实际情况是:内网断开了,无法访问外网,但是外网依旧可以访问内网,怎么办呢,接着往下排
这个现香是不是很奇怪,我也觉得奇怪,然后看下连接监控
是不是很奇怪,wan到lan方向的竟然192段的是源,那只能说明一个问题,就是线接反了,接下来验证线接反了--看在线用户列表
352315b625e2031868.png
看到了吧,都是公网地址,那么下一步看下部署模式
369865b625e786eff6.png
看eth0是lan口,eth6是wan口,知道为什么了吧,但是客户怎么接线的呢,eth0接了防火墙,eth6接了内网交换机。找到问题了,让客户去换下线,但是客户说线不能调换,因为(直接看图)
616005b625f0a41dda.png
因为eth6用的是光口,eth9用的是电口,既然线没法换,那就我在设备上调换一下lan口和wan口的方向喽
992925b625f6f26ebf.png
我们知道修改网络配置设备会重启对吧,
......重启中......
五分钟后,再次远程上来,正常情况配置没问题了,线也没反了,策略也移到最上面了
,再次验证
奇迹出现了。我在外网依旧能够访问他们的内网服务器,怎么办呢,接着排
这个时候才想到AC一个重要的功能,AC还有个白名单呀,是不是因为这个服务器在白名单了呢,看下吧
405995b62605cc03cf.png
果然,192.168.0.0/24在全局排除躺着呢,把这个禁止,考虑到还有其他服务器,重新定义一个范围,将此服务器从全局排除移除,保存生效之后再来测试
232605b62610d0d25a.png
ok,不能访问了,策略生效

提醒:各位小伙伴遇到策略不生效的一定要看下直通是否开,适用的时间,对象是否匹配上,应用或者地址是否在全局排除里面躺着。。。。。。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

痴笑Memory Lv4发表于 2018-8-2 10:58
  
躺在沙发上,学习一波
onlyou Lv3发表于 2018-8-2 15:45
  
学习一波
cow977 Lv3发表于 2018-8-3 06:35
  
这白名单,真是惹祸。

建议设备可以预定义好白名单,客户需要的时候,再在访问控制策略里明确引用。

这样就做的明明白白了。
黑色 Lv3发表于 2018-8-3 08:07
  
思路很清晰哈 学习了
vito Lv6发表于 2018-8-3 08:34
  
这个排错很详细啊,学习了。有图有真相,这个图画得好。
你个妖孽 Lv3发表于 2018-8-3 09:32
  
很详细,适合我这种小白
sangfor_闪电回_小六 发表于 2018-8-3 14:18
  
干货满满,婷哥哥最棒
墨良人 Lv4发表于 2018-8-6 09:20
  
婷哥,就是优秀,画得一手好拓扑。
新手148744 Lv5发表于 2018-8-6 16:40
  
真·灵魂画手