本帖最后由 新手869761 于 2022-11-17 16:09 编辑
一、文档概述客户在部署业务的过程中,自己写了端口映射,但反应外网端口不通。 客户的云主机都为winserver2016,网络拓扑如图所示:
二、操作步骤 1. tcping 或者telnet公网ip + 外网端口 看是否真的不通 有多个端口要放通,多个IP时要注意一一对应的关系并检查一下内网IP是否写对。
3.同一网段内云主机telent 内网ip+端口 同一网段内A telnet B不通,或者ping不了,那就是云主机之间的防火墙没关。在告知客户并得到允许之后,关闭winserver2016的防火墙,具体操作步骤为【控制面板】->【系统和安全】->【Windows Defender 防火墙】,选择关闭。推荐设置出入站规则放通指定端口 以下为已关闭状态:
4. 内网端口还是不通,在云主机内查看端口服务是否起来 使用netstat -a | findstr 端口 查看 如图,该云主机的8127 和 9500 端口服务都起来了。
该云主机的6688端口就没有起来,确认是客户的服务没起来之后就可以放心的甩锅出去了,因为我们只提供应用层的服务,这个要客户自己去弄好。 还有一种情况是,明明端口起来了,但不是对应的云主机ip,如下图云主机的内网ip是192.168.0.3,但是显示的是127.0.0.1。
这种情况是客户部署redis业务只监听本地的127.0.0.1的6379端口,没有开放远程端口。这种就需要客户自己修改redis.conf配置了。修改方法可以参考如下连接【自己参考就行,修改后会需要重启redis,高危操作且不是我们的服务范围!!!】。
5. 检查云上防火墙策略 无痕模式登录租户账号,在网络拓扑里选中下一代防火墙,点击【WEB控制台】 首先要看客户做了端口映射之后有没有写策略,没写肯定是不通的。 如果客户有写策略的话,先把防火墙开直通,看开了之后是不是外网的端口就通了,如果一开始不通,开直通之后通了那就是策略的问题。 那就要对策划做个排查:
6. 路由器是否做了策略拦截 点击【访问控制】查看安全基线是否默认封堵了445、22等一些高危端口,告知客户放通后的潜在风险,需要临时放通则需进入SCP后台操作。
三、操作影响范围 1、端口映射的删除、禁用属于高危操作,操作之前需跟客户确认业务运行情况并和专家+组长确认后再进行操作。
四、注意事项 1、在排错的过程中,要有安全意识,在修改客户的一些策略之前先做一个备份或者截个图。 2、如果排错发现端口映射不通是客户对应的业务没起来,要明确服务边界委婉的告知需要客户自己解决。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-1-17 12:13