APP下载

某IP端口映射在外网打不开

2019-08-28湖南工业大学现代教育技术中心郭兆宏

网络安全和信息化 2019年8期
关键词:访问量内网公网

■ 湖南工业大学现代教育技术中心 郭兆宏

编者按:某一天笔者遇到用户反映说其映射的HTTP服务在外网不能打开了,因此笔者针对此进行了一系列排查工作。

图1 加入NAT地址池前后路由跟踪对比

某用户反映他们的映射的

HTTP服务不能打开了,检查出口设备的配置是正常的,此端口映射的内网地址可以正常打开,公网地址+端口号在单位内网也可以打开,说明服务器、内网是正常的,但用www.17CE.com测试不能打开,于是开始了网络、安全方面的排查。

内网正常,其他映射基本正常

首先查到此映射在内网地址,在自己电脑上可以正常打开此映射的内网IP:172.x.x.11 + 8080端口号,再次打开映射的公网IP地址:218.x.x.121 + 8080端口号也正常,这说明此映射的服务器、服务、内网是正常运行的。但用www.17CE.com测试不能打开,用www.17CE.com测试单位网站用公网 IP:218.x.x.116 方式的打开正常,而用www.17CE.com的路由跟踪是无法跟踪218.x.x.116的,只能跟踪到网关。再测试打开2个常用的映射也用公网IP地址+端口号的方式也是正常的,说明网络正常、出口设备运行是正常的。感觉哪里有卡此映射的服务,于是开始检查安全设备。

安全设备的日志中查不到此映射内网IP及公网IP的记录

因有多台安全设备是串联在核心网络线路上的,且每分钟都有多条数据被拦截,于是一个个检查日志,未查到此映射内网IP及公网IP的记录,基本确认安全设备正常没有卡此映射,但准备实在不行把线路跳过安全设备,因有多台安全设备且不在同一个机柜中,跳线有点麻烦,不到最后不搞这步。

重启出口设备

再次检查出口设备的映射配置及流过滤的ACL,此映射的公网IP+端口全部放通的,映射配置正确。出口的带宽正常,会话数正常,内网IP:172.x.x.11的流量基本没有。

出口设备配置中有一项免费ARP请求:网关会定期向局域网PC通告自己的IPMAC地址,避免内网PC被ARP欺骗,同时在被欺骗后仍能及时的学习到正确的网关地址,这个选项只能对内网不能对外网。因安全设备没有查出问题,只可能是出口设备有问题了就把出口设备重启了,故障依旧。出口设备前还有2台安全设备也给重启了,故障依旧。出口设备前有台交换机接运营商的线路,配置有空端口可以接笔记本用公网IP地址的,但因当时笔记本被借走了,暂时没用公网IP测试。

联系运营商,反馈是没有封杀

因为此映射出去的是8080端口,怕被运营商禁止端口了,就增加一个映射换了一个不常见的端口号,还是不行,再换另一个公网IP+另一个端口号,新公网IP:218.x.x.116是单位网站的,用www.17CE.com测试可以正常打开,感觉是IP:218.x.x.121是被运营商给封杀了,于是联系运营商,过一段时间反馈回来是运营商没有封杀任何IP地址及端口号,只能再查自己的设备。

在出口上无法查到此映射公网IP的流表

在出口上用命令“sh ip nat translations |include 218.x.x.121”查此映射公网IP的NAT表及sh ip fpm flows | include 218.x.x.121查流表过滤,全部没有任何数据。再检查此映射公网IP上面其他几个映射,有几个映射的内网都打不开,有2个映射的内网服务可以打开,但用www.17CE.com测试也打不开,把这2个映射内网IP+端口再做2个映射到单位网站的公网IP:218.x.x.116+端 口,用www.17CE.com测试全可以打开,把单位网站映射到此公网IP:218.x.x.121+非80端口号,用www.17CE.com测试打不开。判断就是此映射的公网IP:218.x.x.121地址有问题。

把此映射公网IP加到NAT地址池中此映射立即打开

感 觉 此 公 网IP:218.x.x.121肯定是哪里卡了,可能在安全设备上,想跳开安全设备,但又有些麻烦,且以前运行也是正常的。也可能在出口设备上,在出口设备上没有查到此公网IP:218.x.x.121的流表,增加流表如何?于是把此映射的公网IP:218.x.x.121加到NAT地址池,在出口设备查NAT转换表过滤,马上看到此公网IP:218.x.x.121的 很 多 数据,再用www.17CE.com测试此 映 射:218.x.x.121:8080可以打开了,此映射正常了!再查看流表过滤,此映射的公网IP+端口号的数据都有了,至此故障解决了。

应是运营商学习不到此公网IP:218.x.x.121的MAC地址。因为单位网络NAT地址池里IP地址是专用NAT的,不做端口映射的;而做端口映射的公网IP是不做NAT地址池的。且这些地址都不能ping通的,也无法跟踪路由,更不是接口地址。

验证

首先在上网行为日志里检查此映射内网IP:172.x.x.11的记录,最近30天一天平均就几百个访问,此映射 公 网 IP:218.x.x.121上面其它几个映射的内网有几个没访问量(内网服务根本就打不开),一个偶有访问量且最多只有几十个,而单位网站的访问量一天平均都是10+万次的访问量。估计此公网IP:218.x.x.121的访问量太少,且在一段时间内就没有访问量,且此IP只用端口映射没有NAT地址,也不是接口地址,且不能ping通,所以运营商有段时不知道此IP的MAC地址,也就无法找到此IP地址,因此在外网不可能打开此映射的。其实以前有过此公网IP一个映射也无法访问,当时给换到另一个公网IP上面的映射了,可以正常使用后就没有深入找原因。

把单位网站的再做一个从未使用的公网IP:218.x.x.117上面的的映射,用www.17CE.com测试无法打开,在出口设备上把禁止ping、访问限制等安全配置全放开,路由跟踪也无法找到这个从未使用的公网IP,在出口设备上查流表也无法查出这个从未使用IP的数据。

过一段时间把这个从未使用的公网IP也加入到NAT地址池中,再用www.17CE.com测试可以正常打开了,在出口设备上查sh ip fpm flows | include 218.x.x.121流表,立即查出这个从未使用IP的数据对应打开单位网站内网的数据了,路由跟踪也可以到网关了。

总结

此故障虽然与安全设备无关,但也要检查下安全设备,因为每分钟都有安全设备的阻断行为,检查可以防万一。因为IP:218.x.x.121访问量太少,且有一段时间就没有访问量,这个公网IP地址对应的MAC地址在运营商设备上找不到,所以在外网上无法找到此公网IP地址。

把此映射的公网IP加入到NAT地址池后,有大量NAT转换表,运营商设备上可以找到此IP的MAC地址,也就能找到此IP地址,映射也就可以正常打开了。其实如果能与运营商有良好的技术沟通可以很快发现此IP:218.x.x.121与MAC是否在运营商设备上看到,这方面要加强。NAT地址池的IP与端口映射的IP,这个配置也要调整。

猜你喜欢

访问量内网公网
浅析大临铁路公网覆盖方案
如何迎接公网对讲的春天
高职院校图书馆电子资源中数据库的使用情况分析
企业内网中的数据隔离与交换技术探索
内外网隔离条件下如何实现邮件转发
如何做好搜索引擎优化(SEO)提高新闻网站访问量
如何做好搜索引擎优化(SEO)提高新闻网站访问量
一所大学有40人被确诊为抑郁症
基于公网的人民防空应急警报通信系统及应急通信保障工作策略研究
TD—LTE行业应用发展分析及建议