USG2100攻击防范导致地址映射不成功

发布时间:  2012-07-18 浏览次数:  104 下载次数:  0
问题描述
用户需要将内部地址8000端口和8999等端口通过地址映射发布到外网,然而在外网访问发布的端口却发现,只有8000端口能够访问进来,其他做了映射的端口均不能访问成功。
告警信息
处理过程

1、将不能访问的端口修改成防火墙web登录的端口,可以访问。说明运营商未封闭该端口。

2、查看防火墙上的包过滤策略,没有做端口过滤限制。

3、查看会话,发现除了8000端口外,访问任何映射的端口均无任何会话信息。

4、打开抓包功能,检查访问时数据包是否到了防火墙,当外网发起访问时能看到有数据包到达防火墙:

[shanxi09]disp firewall packet-capture statistic
 QueueID    CapturedNumber   SentState       TCP      UDP      ICMP     Other
-----------------------------------------------------------------------------
       0           4(  0%)      Unsent     100.00%    0.00%    0.00%    0.00%
       1           0(  0%)      Unused       0.00%    0.00%    0.00%    0.00%
       2           0(  0%)      Unused       0.00%    0.00%    0.00%    0.00%
       3           0(  0%)      Unused       0.00%    0.00%    0.00%    0.00%
       4           0(  0%)      Unused       0.00%    0.00%    0.00%    0.00%

证明访问的报文已经到了防火墙,说明是防火墙将报文丢弃。

5、检查用户攻击防范,除了开启默认攻击防范外,还开启了tcp代理攻击。

 firewall defend syn-flood zone trust tcp-proxy on
 firewall defend syn-flood zone untrust tcp-proxy on
 firewall defend syn-flood interface Ethernet1/0/0 tcp-proxy on
 firewall defend syn-flood interface Vlanif1 tcp-proxy on

将该攻击防范关闭,外网访问映射端口正常。

根因

1、运营商阻止映射端口的通信。

2、防火墙包过滤未打开。

3、其它原因。

建议与总结
如果默认开启了 firewall defend syn-flood enable功能,不能再开启tcp代理攻击,否则可能导致访问映射端口失败。

END