|
今天上午接到一个故障保障,故障现象:防火墙过滤规则不生效,怎么办,开远程喽 对话略,依旧是根据对话整理出拓扑环境 环境需求:客户在内网有台服务器,通过防火墙的端口映射映射出来供外网的用户进行访问,但是只是在规定的时间内可以访问,也就是在一定的时间内外网的用户是不可以通过公网访问这台服务器的,实现方式就是通过防火墙的过滤规则实现,来看下配置 123这条,没问题吧,方向没问题,时间也没问题。
配置没问题,但是顺序有问题呀,我们知道AC的匹配顺序是从上往下的,这个123在第三条肯定匹配不上他,好吧,往上移,移到第一个,正常情况下移到第一个应该就生效了,但是事情还没完,移动过之后,策略生效了,但是。。。。。。 我远程断开了,同时我尝试公网访问他们的服务器,没问题,也就是说实际情况是:内网断开了,无法访问外网,但是外网依旧可以访问内网,怎么办呢,接着往下排 这个现香是不是很奇怪,我也觉得奇怪,然后看下连接监控 是不是很奇怪,wan到lan方向的竟然192段的是源,那只能说明一个问题,就是线接反了,接下来验证线接反了--看在线用户列表 看到了吧,都是公网地址,那么下一步看下部署模式 看eth0是lan口,eth6是wan口,知道为什么了吧,但是客户怎么接线的呢,eth0接了防火墙,eth6接了内网交换机。找到问题了,让客户去换下线,但是客户说线不能调换,因为(直接看图) 因为eth6用的是光口,eth9用的是电口,既然线没法换,那就我在设备上调换一下lan口和wan口的方向喽 我们知道修改网络配置设备会重启对吧, ......重启中...... 五分钟后,再次远程上来,正常情况配置没问题了,线也没反了,策略也移到最上面了 ![]() ,再次验证 奇迹出现了。我在外网依旧能够访问他们的内网服务器,怎么办呢,接着排 这个时候才想到AC一个重要的功能,AC还有个白名单呀,是不是因为这个服务器在白名单了呢,看下吧 果然,192.168.0.0/24在全局排除躺着呢,把这个禁止,考虑到还有其他服务器,重新定义一个范围,将此服务器从全局排除移除,保存生效之后再来测试 ok,不能访问了,策略生效
提醒:各位小伙伴遇到策略不生效的一定要看下直通是否开,适用的时间,对象是否匹配上,应用或者地址是否在全局排除里面躺着。。。。。。
| 
发表于 2018-8-2 09:42
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
