小弟公司更換防火牆...上網..收信都正常...只有遠端連線的正航軟體不能用...
正航說是 768 port沒開....但新防火牆(fori 200b)沒鎖port
中華電信也確定防火牆沒問題....
弄了兩天還是無解..於是我把舊的防火牆裝(fori 60b)回去...結果竟然還是不通....
1.原架構
2.新防火牆規畫
3.新網路架構
4.想恢復原狀的架構
已邀請的邦友 {{ invite_list.length }}/5
剛剛測試了一下
60.248.171.6 的768 port不通
60.248.171.6的 80port正常
所以正航的人跟你說的沒錯
768的確被阻擋了
正航遠端登入是 60.248.171.[2-4],不過telnet 60.248.171.4 768真的是不通
我一開始裝新防火牆是設 只允許smtp,pop3,http,https,768,1433,
測試不通,我改成all to all!!一樣不通!!!
改讓server直接對外,還是不通,於是恢復成舊架構,,竟然還是不通,
正航說是網路問題,中華電則說他們設的很正確,就算不正確,恢復成舊架構一定會通啊~~~
為何連舊架構都不通...
telnet 60.248.171.2~4 768 不通
telnet 60.248.171.2~4 1433 不通
telnet 192.168.1.2(正航主機) 768 通
telnet 192.168.1.2 1433 通
到底要改哪邊768才會通啊~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
NAT 有正常嗎?
有啊~都沒改~~
IPT=/sbin/iptables
REALIP=60.248.171.2
#$IPT -t filter -F
$IPT -F
#$IPT -t filter -X
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t filter -P INPUT DROP
$IPT -t filter -P OUTPUT ACCEPT
$IPT -t filter -P FORWARD DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
IPT=/sbin/iptables
ETH0_IP="60.248.171.2"
ETH1_IP="60.248.171.3"
ETH4_IP="60.248.171.4"
ETH2_IP="192.168.11.2"
ETH3_IP="192.168.1.252"
SQL_IP="192.168.1.2"
WEB_IP="192.168.11.1"
$IPT -t filter -A FORWARD -m state --state ESTABLISH,RELATED,NEW -j ACCEPT
$IPT -t filter -A INPUT -m state --state ESTABLISH,RELATED,NEW -j ACCEPT
$IPT -t nat -A PREROUTING -i eth0 -s 58.33.79.6 -d $ETH4_IP -j DNAT --to $SQL_IP
$IPT -t nat -A PREROUTING -i eth0 -s 58.33.79.57 -d $ETH4_IP -j DNAT --to $SQL_IP
# FROM 60.248.171.4 IP TO WEB_IIS 192168.192.168.11.1 IP
$IPT -t nat -A PREROUTING -i eth0 -s 60.248.155.1 -d $ETH1_IP -j DNAT --to $WEB_IP
$IPT -t nat -A PREROUTING -i eth0 -s 60.248.155.1 -d $ETH1_IP -j DNAT --to $WEB_IP
$IPT -t nat -A PREROUTING -i eth0 -s 222.65.63.143 -d $ETH1_IP -j DNAT --to $WEB_IP
$IPT -t filter -N icmp_chain
$IPT -t filter -A icmp_chain -p icmp --icmp-type 0 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 3 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 5 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 8 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 11 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp -j DROP
(節錄部份轉址)
# FORWARD
$IPT -t filter -A INPUT -i eth0 -p tcp -m multiport --dport 20,21,22,25,53,80,110 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPT -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPT -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source $REALIP
# INPUT
$IPT -t filter -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT
$IPT -t filter -A INPUT -p all -s 127.0.0.0/8 -j ACCEPT
$IPT -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$IPT -t filter -A INPUT -p icmp -j icmp_chain
$IPT -t filter -A INPUT -p tcp --dport 20 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 21 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 22 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 25 -m state --state NEW --syn -j ACCEP
正航可以透過768連到哪個內部IP?
192.168.1.2 768 <==正航主機
192.168.1.3 768 <==正航簡轉正體主機(簡體版win2000只裝iis)
那80可以到哪個內部ip
全都可以上網
現在是外面到你的內部主機不通
跟你連到外面沒關係
如果80PORT也是可以到你的1.2主機
那就代表你的ip table表設定沒問題
有問題的是fori 200b設定不對
只有開放到80 port
768沒有
可以再跟原廠確認一次規則的設定
至於樓下 roderit大的建議
我是覺得先確認你的 768與80 port是否在同一部主機上再來判斷
如果在同一部那80可以通 就不是ROUTE的問題了
目前設全開
嚴謹的設法是只開常用port跟自訂的767跟1433
問題解決了嗎?
看起來是路由有問題
封包從VDSL的router進來,卻從ADSL的router出去
用policy route試試看,或是將server的GW改成254
不用急著重做,先確定正航主機的路由看是否正確,請在正航主機下以下3個指令看路由是如何跑的!
1.tracert 60.248.171.2
2.tracert 60.248.171.6
3.tracert 61.2222.129.34
iThome鐵人賽
看影片追技術