USG5300 使用NAT Outbound无法正常访问UT和战地之王游戏的案例

发布时间:  2012-07-17 浏览次数:  92 下载次数:  0
问题描述
  1. 组网

  1. 描述
    防火墙在两台路由器之间,各自独立的网段,不跑双机热备。内网从R2经过FW1或FW2 到公网出口,
  两台防火墙的nat地址池不一样,业务报文在防火墙上做nat后发送出去。
 
  1. 问题现象:
UT登陆后,无法正常进入房间,打开很慢,有时提示被踢出。

 运行战地之王游戏发现在进入对战房间时也是无法进入到游戏。
告警信息
处理过程
  1. 因为防火墙处在两台路由器之间且两台防火墙之间做了不同的nat,刚开始以为是来回路径不一致导致。后来通过debug调试,并没有发现报文来回路径不一致的现象。考虑是否存在外网主动发起情况,通过抓包正常和异常时都有这种情况,所以这个原因导致的也排除了。
  2. 在实验室搭建环境进行验证,发现使用UT登陆时,有时存在无法登陆现象,但是在等待一会后也能进去。在不做nat或配置nat server时,也存在有时登陆不进去现象。在内外网口抓包,并没有发现防火墙丢包。对比nat server的抓包,也没有发现有什么特别的。
  3. 登陆战地之王游戏时,在做nat outbound时,在华北网通则基本每次都能进去,但是选择华东电信时,基本都登不进去。这说明和选择的服务器还是有一点关系的。通过抓包分析,仍然没有找到原因。更改为nat server或no pat方式时,问题则可以解决。
这说明UT和战地之王应用程序有可能对源端口也有相应的判断,当远端口不是期望值时,可能会导致异常。
根因
与这两款软件的实现有关,对于内网出去的报文防火墙转换了源端口,有可能服务器对这个端口有校验,导致对于端口转换情况无法正常运行。现网应用更改为nat server方式或者not pat方式,即不对源端口进行转换,则运行正常。
建议与总结
这种和应用程序相关的没有特别好的方法定位,抓起包来报文特别多也不好分析,只能通过排除法,如通过更改配置,如做nat的改为不做nat,或改为no pat,nat server方式排除防火墙问题

END