iT邦幫忙

0

防火牆更換~~不通啊不通~~~

小弟公司更換防火牆...上網..收信都正常...只有遠端連線的正航軟體不能用...
正航說是 768 port沒開....但新防火牆(fori 200b)沒鎖port
中華電信也確定防火牆沒問題....

弄了兩天還是無解..於是我把舊的防火牆裝(fori 60b)回去...結果竟然還是不通....

1.原架構

2.新防火牆規畫

3.新網路架構

4.想恢復原狀的架構

2
jazozazo
iT邦高手 1 級 ‧ 2012-05-23 14:14:16
最佳解答

剛剛測試了一下
60.248.171.6 的768 port不通
60.248.171.6的 80port正常
所以正航的人跟你說的沒錯
768的確被阻擋了

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-05-23 14:26:07 檢舉

正航遠端登入是 60.248.171.[2-4],不過telnet 60.248.171.4 768真的是不通

我一開始裝新防火牆是設 只允許smtp,pop3,http,https,768,1433,
測試不通,我改成all to all!!一樣不通!!!

改讓server直接對外,還是不通,於是恢復成舊架構,,竟然還是不通,
正航說是網路問題,中華電則說他們設的很正確,就算不正確,恢復成舊架構一定會通啊~~~
為何連舊架構都不通...

telnet 60.248.171.2~4 768 不通
telnet 60.248.171.2~4 1433 不通
telnet 192.168.1.2(正航主機) 768 通
telnet 192.168.1.2 1433 通

到底要改哪邊768才會通啊~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
失神

NAT 有正常嗎?

magician iT邦研究生 2 級 ‧ 2012-05-23 16:58:06 檢舉

有啊~都沒改~~

IPT=/sbin/iptables
REALIP=60.248.171.2

clean table

#$IPT -t filter -F
$IPT -F
#$IPT -t filter -X
$IPT -X
$IPT -t nat -F
$IPT -t nat -X

policy

$IPT -t filter -P INPUT DROP
$IPT -t filter -P OUTPUT ACCEPT
$IPT -t filter -P FORWARD DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT

ip string

IPT=/sbin/iptables
ETH0_IP="60.248.171.2"
ETH1_IP="60.248.171.3"
ETH4_IP="60.248.171.4"
ETH2_IP="192.168.11.2"
ETH3_IP="192.168.1.252"
SQL_IP="192.168.1.2"
WEB_IP="192.168.11.1"

$IPT -t filter -A FORWARD -m state --state ESTABLISH,RELATED,NEW -j ACCEPT
$IPT -t filter -A INPUT -m state --state ESTABLISH,RELATED,NEW -j ACCEPT

FROM 60.248.171.4 TO SQL 192.168.12 IP

$IPT -t nat -A PREROUTING -i eth0 -s 58.33.79.6 -d $ETH4_IP -j DNAT --to $SQL_IP
$IPT -t nat -A PREROUTING -i eth0 -s 58.33.79.57 -d $ETH4_IP -j DNAT --to $SQL_IP

magician iT邦研究生 2 級 ‧ 2012-05-23 17:00:34 檢舉

# FROM 60.248.171.4 IP TO WEB_IIS 192168.192.168.11.1 IP
$IPT -t nat -A PREROUTING -i eth0 -s 60.248.155.1 -d $ETH1_IP -j DNAT --to $WEB_IP

$IPT -t nat -A PREROUTING -i eth0 -s 60.248.155.1 -d $ETH1_IP -j DNAT --to $WEB_IP
$IPT -t nat -A PREROUTING -i eth0 -s 222.65.63.143 -d $ETH1_IP -j DNAT --to $WEB_IP

ICMP CHAN

$IPT -t filter -N icmp_chain
$IPT -t filter -A icmp_chain -p icmp --icmp-type 0 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 3 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 5 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 8 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp --icmp-type 11 -j ACCEPT
$IPT -t filter -A icmp_chain -p icmp -j DROP

(節錄部份轉址)

magician iT邦研究生 2 級 ‧ 2012-05-23 17:01:54 檢舉

# FORWARD
$IPT -t filter -A INPUT -i eth0 -p tcp -m multiport --dport 20,21,22,25,53,80,110 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPT -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPT -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source $REALIP

magician iT邦研究生 2 級 ‧ 2012-05-23 17:02:01 檢舉

# INPUT
$IPT -t filter -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT
$IPT -t filter -A INPUT -p all -s 127.0.0.0/8 -j ACCEPT

ESTABLISHED

$IPT -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

internet icmp

#$IPT -t filter -A INPUT -p icmp -j icmp_chain

dns mail www

$IPT -t filter -A INPUT -p tcp --dport 20 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 21 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 22 -m state --state NEW --syn -j ACCEPT
$IPT -t filter -A INPUT -p tcp --dport 25 -m state --state NEW --syn -j ACCEP

jazozazo iT邦高手 1 級 ‧ 2012-05-23 17:49:43 檢舉

正航可以透過768連到哪個內部IP?

magician iT邦研究生 2 級 ‧ 2012-05-23 17:57:19 檢舉

192.168.1.2 768 <==正航主機
192.168.1.3 768 <==正航簡轉正體主機(簡體版win2000只裝iis)

jazozazo iT邦高手 1 級 ‧ 2012-05-23 18:38:18 檢舉

那80可以到哪個內部ip

magician iT邦研究生 2 級 ‧ 2012-05-24 08:31:45 檢舉

全都可以上網

jazozazo iT邦高手 1 級 ‧ 2012-05-24 09:56:42 檢舉

現在是外面到你的內部主機不通
跟你連到外面沒關係
如果80PORT也是可以到你的1.2主機
那就代表你的ip table表設定沒問題
有問題的是fori 200b設定不對
只有開放到80 port
768沒有
可以再跟原廠確認一次規則的設定
至於樓下 roderit大的建議
我是覺得先確認你的 768與80 port是否在同一部主機上再來判斷
如果在同一部那80可以通 就不是ROUTE的問題了

magician iT邦研究生 2 級 ‧ 2012-05-24 10:04:49 檢舉

目前設全開

magician iT邦研究生 2 級 ‧ 2012-05-24 10:06:01 檢舉

嚴謹的設法是只開常用port跟自訂的767跟1433

問題解決了嗎?

magician iT邦研究生 2 級 ‧ 2012-05-24 13:35:28 檢舉

沒有~~~救命啊~~

jazozazo iT邦高手 1 級 ‧ 2012-05-28 15:34:33 檢舉

我沒記錯的話
你的policy建立完畢後
要選擇套用到哪一部主機上
這部分有做了嗎?

magician iT邦研究生 2 級 ‧ 2012-06-12 08:59:25 檢舉

最後竟然是在某台linux server上加上一筆routeing 才通...好奇怪啊~~~

2
roderit
iT邦新手 5 級 ‧ 2012-05-24 08:28:51

看起來是路由有問題
封包從VDSL的router進來,卻從ADSL的router出去
用policy route試試看,或是將server的GW改成254

看更多先前的回應...收起先前的回應...
magician iT邦研究生 2 級 ‧ 2012-05-24 09:58:17 檢舉

怎麼看從ADSL出去?GW是192.168.1.252啊

因為大陸必須簡轉繁..所以目前必須通過192.168.11.1那台IIS才能登入正航時是正體字.
所以不能改成.254

magician iT邦研究生 2 級 ‧ 2012-05-24 13:45:29 檢舉

我在內網telnet 192.168.1.2 768 是通的
telnet 60.248.171.2 不通

192.168.1.2的gw是 192.168.1.252...疑~~怎麼是.254...馬上改回.252!!!!

還是C:\Documents and Settings\Administrator>telnet 60.248.171.2 768
正連線到 60.248.171.2...無法開啟連接到主機的連線 連接埠 768 : 連線失敗

打掉重做吧
如果設定對,不可能改為舊架構不行,除非有設定值改過後,沒改回來

補 : 要重做之前,記得設定都要備份,架構也是要記

2
chi1216
iT邦新手 4 級 ‧ 2012-05-25 10:00:14

不用急著重做,先確定正航主機的路由看是否正確,請在正航主機下以下3個指令看路由是如何跑的!
1.tracert 60.248.171.2
2.tracert 60.248.171.6
3.tracert 61.2222.129.34

我要發表回答

立即登入回答