配置黑洞路由导致FTP业务故障

发布时间:  2012-07-20 浏览次数:  156 下载次数:  0
问题描述

由于USG5100的地址池地址与接口不在同一网段,在防火墙上需要配置针对地址池网段的黑洞路由。但是配置了黑洞路由后配置nat server的ftp服务器业务异常,数据通道不能正常建立,需要等待大概10几分钟才能建立,而不配置黑洞路由马上就能够建立。
组网图:

client-------internet-------USG-------ftp_serve

告警信息
处理过程

1、配置黑洞路由后,ftp业务异常,在防火墙上查看不到对应的session,而不配置黑洞路由能够看到session 2、在客户端抓包发现,客户端采用pasv模式,由客户端发起数据通道连接,而对应的地址为ftp服务器的私网地址
3、查看防火墙发现关闭了状态检测功能。更改客户端为port模式,由服务器发起数据通道连接,是没有问题的。
4、将黑洞路由关闭,同时在客户端抓包发现,客户端显示采用pasv模式然后马上更改为port模式,由服务器发起数据通道连接,所以能够正常建立数据通道。

综上所述:当没有配置黑洞路由时,由于匹配到了缺省路由,而上行设备又将数据包发回了防火墙,这样就会形成环路,很快TTL超时就会发送给客户端,客户端收到后马上就会更改为port方式,更改为服务器发起连接,这样就能建立成功。

根因
建议与总结

在配置了nat后,防火墙的状态检测是不能关闭的。如果关闭,则针对类似ftp的多通道协议的状态检测就不能其作用,导致业务出现异常

END