PTT職涯區 / MIS (IT資訊人員)

[Case] 防火牆流量Age-Out

看板MIS (IT資訊人員)作者 (拂曉)時間6年前 (2018/07/19 20:38), 編輯推噓8(809)
留言17則, 9人參與, 6年前最新討論串1/1
[硬體資訊] Juniper SSG5、Palo Alto PA-3020 [軟or韌體版本資訊] 出廠預設值 [問題描述] 因內部有伺服器要對外服務,透過SSG5使用MIP、VIP等方法對應到外部IP 以及使用PA-3020的Destination NAT 例如:內部網站伺服器IP 192.168.1.100、外部IP 124.155.12.99 透過MIP對應外部IP到內部伺服器IP或透過VIP對應外部IP的80埠到內部伺服器IP的80埠 並在政策開放相對應的政策後 從外部依然無法連到內部網站伺服器 從政策LOG看的到流量,但通通都是CLOSED-AGE OUT (PA-3020是AGED-OUT) 例如 source 1.1.1.1 dest 124.155.12.99 port 80 translate source 1.1.1.1 translate dest 192.168.1.100 port 80 CLOSED-AGE OUT 有查過資料,但對於這個狀況的解法非常的少 這狀況是連線逾時,但我非常確定服務都有起來,內網透過內部IP連網站伺服器也沒問題 自己之前也遇過幾次,但有時候沒有修改甚麼就解決了 因此想請教各位先進 [已嘗試過的方法] 政策重新設定、路由重新設定、更改線路 [其他線索] 還請各位先進不吝指導,感謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.253.208 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1532003905.A.C90.html
07/20 00:39, 6年前 , 1F
簡單的防火牆位置說明一下,不然很難給個建議吧?
07/20 00:39, 1F
07/20 08:56, 6年前 , 2F
07/20 08:56, 2F
07/20 10:13, 6年前 , 3F
2台防火牆一起用?還是這2台都有同樣狀況?
07/20 10:13, 3F
07/20 10:51, 6年前 , 4F
有兩個一樣的環境,但用不同的防火牆
07/20 10:51, 4F
07/20 10:51, 6年前 , 5F
然後都有這狀況
07/20 10:51, 5F
07/21 10:26, 6年前 , 6F
Source應該不是真的1.1.1.1吧
07/21 10:26, 6F
07/21 10:27, 6年前 , 7F
外部先telnet port 80看連線有沒有起來
07/21 10:27, 7F
07/21 10:28, 6年前 , 8F
沒有的話可能是rouring or policy or 去回不同路
07/21 10:28, 8F
07/22 15:42, 6年前 , 9F
sniffer firewall 內腳port的流量,確認封包有丟出來嗎?
07/22 15:42, 9F
07/24 21:23, 6年前 , 10F
每隻腳抓封包出來看最準
07/24 21:23, 10F
07/25 11:59, 6年前 , 11F
telnet 沒有通,那應該是找不到回去的路
07/25 11:59, 11F
07/25 22:57, 6年前 , 12F
看的到aged out通常都是封包回不去
07/25 22:57, 12F
08/06 14:23, 6年前 , 13F
是用google 瀏覽器?開http的1.1.1.1
08/06 14:23, 13F
08/13 03:56, 6年前 , 14F
先看server吧
08/13 03:56, 14F
08/13 03:58, 6年前 , 15F
肯定防火牆沒問題
08/13 03:58, 15F
08/13 04:01, 6年前 , 16F
然後你的wan幾條
08/13 04:01, 16F
08/13 04:03, 6年前 , 17F
server確定服務有對外?
08/13 04:03, 17F
更多 Akaski 的文章
文章代碼(AID): #1RK8P1oG (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 Akaski 的文章
文章代碼(AID): #1RK8P1oG (MIS)