本帖最后由 yzy 于 2020-5-5 13:04 编辑
-----------故障现象----------做了一个WEB界面的端口映射,通过telnet 端口能通,通过WEB界面无法正常访问界面,在内网通过公网IP是能正常访问的
----------排障步骤---------- ①查看端口映射是否正确,发现端口映射配置正确也有匹配数了,一般能telnet 通都说明端口映射是配置正确的了
②做个源地址转换试试,做了源地址转换等于使用AD LAN口IP去访问服务器,可以排查是不是内网有安全设备拦截
③做了源地址转换后在公网访问发现可以正常访问了,说明内网有安全设备拦截了
④咨询客户说核心交换机到AD之间有AF和AC,禁用源地址转换后登录AF进行开直通,查看是否有拦截 通过对内网服务器进行直通没有发现拦截日志,通过公网也无法进行访问,说明不是AF拦截了,AF直通先不关,到AC中放直通看看 开直通后需要到公网刷新一下页面进行参数数据,否则可能抓取不到数据
⑤AC直通后查看到拦截日志,在公网刷新界面也能打开了,说明是被AC拦截了
⑥通过查日志发现是没有允许服务器网站浏览的权限导致的
----------解决办法---------- 通过添加自定义URL,可以通过日志看到请求的URL是公网的IP地址,所有需要写出接口的公网IP 新增应用控制策略,选择添加好的自定义URL,动作为允许,适用用户只选择服务器用户
添加自定义URL后可以到拒接访问或者拒绝上网的策略中是否勾选了新添加的URL,如果没有勾选说明不拒绝新添加的URL,匹配不上的规则默认是放通的,所有可以不做上网权限策略,如果无法判断是否有勾选可以看策略,也可以按照前面的说明添加一条上网权限策略单独放通
|