首页 科技问答 孔凡安,防火墙二层部署丢包典型案例分析

孔凡安,防火墙二层部署丢包典型案例分析

科技问答 234
1676539498,

组网及说明

不涉及


告警信息

不涉及


问题描述

防火墙二层部署,组网简化如下:

客户端-----(BAGG2)防火墙(BAGG1)------服务器

现场过防火墙探测服务器的端口不通。



过程分析

首先查看防火墙会话信息如下:



TCP连接状态为TCP_SYN_SENT,说明防火墙收到了第一个SYN报文。

由于防火墙二层部署,通过debug查看ip转发无回显,所以直接在防火墙上抓包,查看是否收到服务器端回应的syn/ack报文。

图示:防火墙收到SYN报文,并转发。根据ip.id字段一致判断为同一个报文。



通过抓包可以看出,防火墙收到了SYN/ACK报文,如果通过ip.id来看,似乎这是同一组报文,防火墙转发没有问题。



但是结合会话状态来看,似乎无法对上。因为防火墙如果收到SYN/ACK报文并转发出去的话,状态机会变为TCP_SYN_RECV。

所以问题大概率可能出现在防火墙上。

继续查看报文,发现虽然No.3和No.4报文内容一样,但是时间确相差1S多(上图绿色框),因此判断No.4报文为服务器侧重传的报文,而非防火墙转发的报文。


继续分析发现防火墙来回报文携带的vlan标签不一致,由于防火墙会话状态检测机制会检查报文携带的vlan标签,难道是安全策略阻断了?

但是现场反馈其他的IP是能通的,来回的vlan标签也不一致。



解决方法

基于以上分析判断现场应该开启了松散模式,但是没有放通反向的报文。

解决方案:松散模式下放通反向报文,使得反向报文能够建立会话。


CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。本文来源:知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,防火墙二层部署丢包典型案例分析