Re: [請益] Cicso防火牆問題
自問自答。今天終於解決了某幾個ip流量不通過防火牆這個問題。
問題確實是出在ARP table,但是不是防火牆裡面的ARP table,
而是在上層的router。
Router
|
|(outside)
|
------------------------------Firewall
| |
|(dmz) |(inside)
| |
-------------switch DB1
| | |
www1 www2 www3
上層的Router的ARP table一直把82,83兩個ip對應到www1的網卡去
(www1網卡原本是直接接在Router上面),導致把www1放到防火牆
後面去以後,82,83兩個ip的封包一直都不通過防火牆。解決方式是:
1. 把www1移到防火牆後面(dmz網段)
2. 把原本綁在www1上面的各個對外ip釋放掉
3. 在防火牆上面設定好nat以及acl
4. 重新啟動防火牆
5. 請網管進入上層Router,清除Router的ARP cache,讓Router的
ARP table把原本www1使用的那些ip對應到防火牆的outside介面。
(在此之前,Router的ARP table裡面,那些對外ip都對應到www1
的網卡去了)。
上層Router是ISP在管理的(機器放在ISP的機房),今天把ISP的網管
找來一起看才找到問題點。
希望這次經驗也能幫助到其他人:-)
※ 引述《MrMarcus (請勿忘記密碼)》之銘言:
: 最近得架設一台Cicso ASA 5510防火牆,架構大概是這樣:
: interface gagabitethernet0/0:
: nameif outside
: ip address 123.123.123.81/255.255.255.240
: interface gigabitethernet0/1:
: nameif dmz
: ip address 192.168.2.1/255.255.255.0
: interface gigabitethernet0/2:
: nameif inside
: ipaddress 192.168.3.1/255.255.255.0
: interface management0/0
: nameif management
: ipaddress 192.168.1.1/255.255.255.0
: management-only
: dmz這個介面接上一台switch,底下有三台要提供公開服務的web server,
: inside這個介面會接上一台資料庫伺服器。
: dmz這邊目前先接上一台web server1,這台web server1必須有兩個對外的ip。
: (因為上面有兩個網站www.site90.com,www.site91.com,dns那裡已經設定了
: www.site90.com => 123.123.123.90
: www.site91.com => 123.123.123.91
: 因此這台web server1必須有兩個對外的ip)
: 我已經透過static policy-nat的方式解決了兩個外部ip對應到同一個內部ip
: 的問題,http://www.site90.com和http://www.site91.com都會連到dmz的web
: server1上面的兩個個別網站去。直接操作web server1,也可以在上面往外連
: (開瀏覽器可以瀏覽外部網站)。
: 現在問題來了:和上面完全相同的設定,只是單純把對外的ip換掉,換成
: 123.123.123.82和123.123.123.83(dns server那邊另外有A紀錄指向82,83
: 這兩個ip:
: www.site82.com => 123.123.123.82
: www.site83.com => 123.123.123.83)
: 一切就不通了=_= 從外部電腦開啟瀏覽器進入http://www.site82.com無法
: 瀏覽網站(應該不是www server軟體本身設定的問題)。反過來從web server1
: 上面也變成連不出去,在上面開瀏覽器瀏覽外部網站,整個出不去。
: 也就是說,防火牆裡面設定對外ip是90,91就正常,設定用82,83就出不去也
: 進不來(外部進來80 port都有設定開放,連出去則是預設都開放)。
: 如果我讓web server1不放在防火牆後面,直接接上對外的網路口,然後在
: 網卡上面綁82,83這兩個ip,一切又會正常,像這樣:
: ip 123.123.123.82
: mask 255.255.255.240
: gw 123.123.123.94
: 我想不出問題在哪兒。82,83,90,91都是我們可以使用的ip,也沒有被佔用。
: 這兩組ip我能想到的唯一差別在於,82,83這兩個ip我「曾經」用來綁在
: 另外一台web server2上面然後run了一段時間。但是在我做以上防火牆設定
: 測試的時候,都有先把82,83這兩個ip從原本web server2的網卡上面釋放掉。
: 我進一步測試,發現只要是firewall裡面設定對外ip使用曾經被綁在
: web server2的ip,結果都不通,使用不曾被綁在web server2的ip就會通。
: (我使用那些被綁過的ip之前都有把這些ip先釋放出來)。
: 有沒有網管高手能夠從以上這些資料中看出問題可能出在哪兒呢?
: 請不吝賜教,謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.153.19
推
06/24 14:48, , 1F
06/24 14:48, 1F
討論串 (同標題文章)