通过会话信息定位是否防火墙原因导致的故障一例

发布时间:  2012-07-17 浏览次数:  70 下载次数:  3
问题描述
某 USG5330 V100R002C01SPC200 组网中,USG5330 为出口网关。现在内网用户反映可以访问外网服务器 80 端口,但是不能访问 5900 端口。
告警信息
处理过程

按如下步骤处理:
1、检查防火墙配置,没发现可疑的策略设置
2、拿掉防火墙,给电脑配置公网地址访问,仍不能访问外网某服务器的5900端口
3、怀疑是运营商的问题,为给出证据,做如下测试:
在内网某电脑上telnet 外网服务器地址5900端口发现只有发包没有收包,相关会话信息如下:
HRP_S[USG5330D]dis firewall session table verbose destination global 58.252.5.160 destination-port 5900
17:02:49 2012/03/23
Current total sessions : 0
HRP_S[USG5330D]dis firewall session table verbose destination global 58.252.5.160 destination-port 5900
17:02:59 2012/03/23
Current total sessions : 1
tcp VPN: public -> public
Zone: trust -> untrust TTL: 00:00:30 Left: 00:00:28
Interface: G2/0/0 Nexthop: 192.168.1.9 MAC: 00-1c-b0-b7-dd-c0
<-- packets:0 bytes:0 --> packets:2 bytes:96
159.226.13.177:2242-->58.252.5.160:5900

而在内网电脑上telnet 80端口收发包都有,会话信息如下:
HRP_S[USG5330D]dis firewall session table verbose destination global 58.252.5.160 destination-port 80
17:03:55 2012/03/23
Current total sessions : 0
HRP_S[USG5330D]dis firewall session table verbose destination global 58.252.5.160 destination-port 80
17:04:06 2012/03/23
Current total sessions : 1
HTTP VPN: public -> public
Zone: trust -> untrust TTL: 00:00:30 Left: 00:00:26
Interface: G2/0/0 Nexthop: 192.168.1.9 MAC: 00-1c-b0-b7-dd-c0
<-- packets:1 bytes:48 --> packets:2 bytes:88
159.226.13.177:2246-->58.252.5.160:80

最终客户联系运营商,确认是运营商设置策略过滤了5900端口。同运营商协调,方行相关策略,问题得以解决。

根因

可能的原因如下:

1、防火墙策略阻止了对5900端口的访问。
2、服务器配置问题
3、运营商过滤了5900端口

建议与总结

END