作爲一個攻城獅經常遇到些稀奇古怪的問題,這裏分享一個最近遇到的古怪問題及其處理方法。
環境
客戶當前外網網關是一臺防火牆,防火牆有DMZ區域,該區域中有兩臺服務器(網關爲防火牆,並且中間無除交換機外任何其他設備),防火牆LAN口接核心交換機,內網網段都在覈心交換機上(網關爲核心交換機),客戶數據庫服務器在內網,web服務器在DMZ區域,並且發佈到外網。
簡單來說就是一個很常見的拓撲。然而就是這樣一個簡單的網絡卻出現了問題。
問題描述
最早出現問題的時候是幾個月之前了,客戶告訴我我們另外一個地方的分公司無法訪問到他們的網站,我從多個地方進行測試都可以正常訪問,唯獨他們分公司無法訪問到,我在防火牆上抓包發現從他們分公司過來的包並沒有被防火牆攔截,已經正常被防火牆轉發,但是服務器沒有回包。這種情況判斷一般就是服務器的問題,但是客戶沒有排查到問題,無奈我在防火牆上做了一個NAT轉換,將客戶分公司過來的流量轉換爲了防火牆DMZ的接口IP,經過轉換之後就可以正常訪問。
第二次出現問題是近一個星期,客戶發現分支那邊又沒辦法訪問到他們網站,檢查發現又是和之前一模一樣的問題,即使NAT還在正常生效,但是服務器就是不回包。無論我開啓NAT還是關閉NAT都一樣。此時我將NAT轉換的地址修改爲了DMZ網段一個別的IP之後,又可以正常訪問。感覺就像是有個黑名單,訪問到一定量之後就會拉黑這個IP。
但是可能是由於之前轉換的是防火牆接口IP,由於被服務器“拉黑”還導致了另外一個問題——服務器現在沒辦法ping到防火牆,也沒辦法訪問到內網數據庫服務器了。
問題處理
ping防火牆接口IP以及ping內網數據庫服務器結果與之前他們分公司的訪問類似,防火牆上壓根就沒收到那個服務器發出來的數據包。之後做了一些測試,測試結果如下:
- web服務器上外網正常
- 服務器可以訪問同網段其他服務器
- 同網段其他服務器可以訪問該服務器
- 防火牆無法ping到該服務器
- 防火牆上無法收到來自該服務器的相關數據包(例如ping防火牆或者內網數據庫服務器的ping包或者tcp包)
最後,基於服務器“黑名單”的判斷,我修改了防火牆IP,修改後服務器對防火牆的訪問恢復正常,但是仍然無法訪問到內網數據庫服務器(推測修改數據庫服務器IP可能就可以訪問到了)
客戶自己嘗試修改了服務器IP,但是沒效果,客戶使用電腦改爲服務器當前IP,接上服務器網線去訪問內網數據庫服務器、防火牆等一切正常,證明就是服務器而非防火牆的問題。
最終解決:
客戶那邊後來換了一個工程師進行排查處理,最終發現是服務器本地安全策略的問題,具體策略位置如圖:
在本地安全策略中有一個IP安全策略(這張圖片已經刪除了有問題的策略):
問題策略如下圖,有一個叫serversec的策略,不知道是人爲設置的還是原本就有的,裏面是一個動態的IP篩選,具體不知道是什麼機制,但是這個策略就是造成其他那些地址無法訪問的元兇。刪除這條策略之後一切恢復正常,服務器可以正常訪問到防火牆以及內網數據庫服務器。
