作者Akaski (拂晓)
看板MIS
标题[Case] 防火墙流量Age-Out
时间Thu Jul 19 20:38:21 2018
[硬体资讯]
Juniper SSG5、Palo Alto PA-3020
[软or韧体版本资讯]
出厂预设值
[问题描述]
因内部有伺服器要对外服务,透过SSG5使用MIP、VIP等方法对应到外部IP
以及使用PA-3020的Destination NAT
例如:内部网站伺服器IP 192.168.1.100、外部IP 124.155.12.99
透过MIP对应外部IP到内部伺服器IP或透过VIP对应外部IP的80埠到内部伺服器IP的80埠
并在政策开放相对应的政策後
从外部依然无法连到内部网站伺服器
从政策LOG看的到流量,但通通都是CLOSED-AGE OUT
(PA-3020是AGED-OUT)
例如
source 1.1.1.1 dest 124.155.12.99 port 80
translate source 1.1.1.1 translate dest 192.168.1.100 port 80
CLOSED-AGE OUT
有查过资料,但对於这个状况的解法非常的少
这状况是连线逾时,但我非常确定服务都有起来,内网透过内部IP连网站伺服器也没问题
自己之前也遇过几次,但有时候没有修改甚麽就解决了
因此想请教各位先进
[已尝试过的方法]
政策重新设定、路由重新设定、更改线路
[其他线索]
还请各位先进不吝指导,感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.248.253.208
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1532003905.A.C90.html
1F:→ a6530466: 简单的防火墙位置说明一下,不然很难给个建议吧? 07/20 00:39
3F:推 slash66: 2台防火墙一起用?还是这2台都有同样状况? 07/20 10:13
4F:→ Akaski: 有两个一样的环境,但用不同的防火墙 07/20 10:51
5F:→ Akaski: 然後都有这状况 07/20 10:51
6F:推 saitoh: Source应该不是真的1.1.1.1吧 07/21 10:26
7F:→ saitoh: 外部先telnet port 80看连线有没有起来 07/21 10:27
8F:→ saitoh: 没有的话可能是rouring or policy or 去回不同路 07/21 10:28
9F:→ vjuko: sniffer firewall 内脚port的流量,确认封包有丢出来吗? 07/22 15:42
10F:→ s801107: 每只脚抓封包出来看最准 07/24 21:23
11F:→ Akaski: telnet 没有通,那应该是找不到回去的路 07/25 11:59
12F:推 dil79975: 看的到aged out通常都是封包回不去 07/25 22:57
13F:推 rockiey: 是用google 浏览器?开http的1.1.1.1 08/06 14:23
14F:推 okita3088: 先看server吧 08/13 03:56
15F:推 okita3088: 肯定防火墙没问题 08/13 03:58
16F:推 okita3088: 然後你的wan几条 08/13 04:01
17F:推 okita3088: server确定服务有对外? 08/13 04:03