[Case] 防火牆流量Age-Out

作者: Akaski (拂曉)   2018-07-19 20:38:21
[硬體資訊]
Juniper SSG5、Palo Alto PA-3020
[軟or韌體版本資訊]
出廠預設值
[問題描述]
因內部有伺服器要對外服務,透過SSG5使用MIP、VIP等方法對應到外部IP
以及使用PA-3020的Destination NAT
例如:內部網站伺服器IP 192.168.1.100、外部IP 124.155.12.99
透過MIP對應外部IP到內部伺服器IP或透過VIP對應外部IP的80埠到內部伺服器IP的80埠
並在政策開放相對應的政策後
從外部依然無法連到內部網站伺服器
從政策LOG看的到流量,但通通都是CLOSED-AGE OUT
(PA-3020是AGED-OUT)
例如
source 1.1.1.1 dest 124.155.12.99 port 80
translate source 1.1.1.1 translate dest 192.168.1.100 port 80
CLOSED-AGE OUT
有查過資料,但對於這個狀況的解法非常的少
這狀況是連線逾時,但我非常確定服務都有起來,內網透過內部IP連網站伺服器也沒問題
自己之前也遇過幾次,但有時候沒有修改甚麼就解決了
因此想請教各位先進
[已嘗試過的方法]
政策重新設定、路由重新設定、更改線路
[其他線索]
還請各位先進不吝指導,感謝
作者: a6530466 (a6)   2018-07-20 00:39:00
簡單的防火牆位置說明一下,不然很難給個建議吧?
作者: Akaski (拂曉)   2018-07-20 08:56:00
作者: slash66 (JimmyHuang)   2018-07-20 10:13:00
2台防火牆一起用?還是這2台都有同樣狀況?
作者: Akaski (拂曉)   2018-07-20 10:51:00
有兩個一樣的環境,但用不同的防火牆然後都有這狀況
作者: saitoh (Perhaps Love)   2018-07-21 10:26:00
Source應該不是真的1.1.1.1吧外部先telnet port 80看連線有沒有起來沒有的話可能是rouring or policy or 去回不同路
作者: vjuko (回到過去找回失去)   2018-07-22 15:42:00
sniffer firewall 內腳port的流量,確認封包有丟出來嗎?
作者: s801107 (wjs)   2018-07-24 21:23:00
每隻腳抓封包出來看最準
作者: Akaski (拂曉)   2018-07-25 11:59:00
telnet 沒有通,那應該是找不到回去的路
作者: dil79975 (醬汁呢(′・ω・)*)   2018-07-25 22:57:00
看的到aged out通常都是封包回不去
作者: rockiey (lovemiya)   2018-08-06 14:23:00
是用google 瀏覽器?開http的1.1.1.1
作者: okita3088 (Okita)   2018-08-13 03:56:00
先看server吧肯定防火牆沒問題然後你的wan幾條server確定服務有對外?

Links booklink

Contact Us: admin [ a t ] ucptt.com