各位前輩大家好
小弟又冒出來了....
這兩天遇到一個詭異的事情
就上次的FTP搞定之後
一直相安無事
後來今天發生了一個很詭異的事件
內部我都是綁固定IP的
然後 有192.168.1.100~130 這30各IP
可以連上FTP
所以我在近端的forting 200E上
給這30台IP寫規則
到外部IP 220.xx.xx.xx
一開始都正常
後來這30各IP今天就很突然的有幾台電腦完全無法連線
FZ LOG也都是無法連線伺服器
但是這30個電腦又不是全都不行
而是某幾台固定IP
該查的都查了
同一個IP網孔
換電腦 換IP都不行
不能連線的IP 換去可以連線的IP 也不行
防火牆也沒阻擋 也沒黑名單
我在想 就算重灌 應該也是不行
不知道各位前輩大大有沒有遇到如此詭異的問題??
--------以解決的分隔線------------
設備是群輝的NAS
放在外面的機房
原本的政策是
建立一個固定內部IP 例如 192.168.1.100
連到外面的220.xx.xx.xx 服務是 20 21 22
後來關閉上面的政策建立一個新的all to all and 服務all 政策
等於防火牆全開
結果發現 原本可以連線的 不能連了 原本不能連線的 可以連線了
然後我就傻了 .......
後來
使用者又一直抱怨,要傳的檔案已經好幾天了再不傳要過年了
只好打開WEB模式
結果 答案就出現了
﹝這個IP因多次登入錯誤,已被封鎖﹞
因為防火牆是雙Wan出去 其中一個被鎖了..............
已邀請的邦友 {{ invite_list.length }}/5
可惜樓主沒有揭露網路架構圖及IP位置說明
但是按情況分析很有可能是hairpin
意即流量方向先到外網再轉回內網VIP
也就是SNAT及DNST同時運作的關係
此流量運作需要特殊處理
有關Hairpin話雖簡單,但情況有好幾種需要判斷
例如出去SNAT的IP與進入DNAT的IP是否相同
防火牆政策是否各方向均有policy考量
樓主到達NAS的政策看似限制來源
但policy介面是做在內網到NAS
還是做在WAN到NAS
目前看起來似乎只有做WAN到NAS
(因為寫規則到外部IP 220.xx.xx.xx)
建議可以另外做PC到NAS的政策試試
如樓主是金融單位應該是不允許hairpin
在法規上會被視為內線交易
如非金融單位
則內網存取NAS無須穿出外網再返回
內網的跨防火牆隔離
可以用Fortinet資安鐵三角輕易就做到
iThome鐵人賽
看影片追技術