抓包分析端口重定向造成访问服务器不能正常问题

发布时间:  2013-05-08 浏览次数:  374 下载次数:  0
问题描述
客户通过VMware搭建多个WEB服务器,在E100E上配置地址映射8222端口后,通过外网访问IP+端口,能够显示1秒左右的VMware server2页面,然后显示“Internet  Explorer无法显示该页面”

地址映射配置有:
nat server protocol tcp global 124.114.233.42 ssh inside 192.168.0.150 ssh
nat server protocol tcp global 124.114.233.42 8222 inside 192.168.0.150 8222
nat server protocol tcp global 124.114.233.42 902 inside 192.168.0.150 902
nat server protocol tcp global 124.114.233.42 8080 inside 192.168.0.150 8080
nat server protocol tcp global 124.114.233.42 6888 inside 192.168.0.150 6888
nat server protocol tcp global 124.114.233.42 9090 inside 192.168.0.150 9090
nat server protocol tcp global 124.114.233.42 3306 inside 192.168.0.150 3306
nat server protocol tcp global 124.114.233.42 8223 inside 192.168.0.200 8222
nat server protocol tcp global 124.114.233.42 903 inside 192.168.0.200 902
nat server protocol tcp global 124.114.233.42 www inside 192.168.0.150 www
nat server protocol tcp global 124.114.233.42 https inside 192.168.0.150 https
告警信息
处理过程
1、 查看防火墙TCP老化时间没有做修改,采用默认配置。
2、 查看会话表,仅一条会话记录,疑为一个TCP半连接会话。

3、 采用应用层ASPF
[Eudemon]dis acl 3003
rule 10 permit tcp source-port eq 8222  (0 times matched)
rule 10 permit tcp destination-port eq 8222 (5 times matched)

[Eudemon-interzone-trust-untrust]dis th
nat outbound 2000 address-group 1
detect user-define 3003 inbound 120
detect user-define 3003 outbound 120
经测试问题依旧
4、 抓包分析
通过访问http://124.114.233.42:8222,发现以下数据包。
从抓包数据可以看出,本来访问8222端口,却出现了8333端口的数据。从这里可以看出,在访问服务器8222端口后,执行了端口重定向。由于防火墙仅做了基于8222端口的映射,但重定向到8333端口后,由于没有做8333端口的地址映射,192.168.100.34去访问E100E的8333端口,从而被防火墙拒绝。。
5、 增加8333端口的地址映射,并尝试访问网络
Eudemon]nat server protocol tcp global  124.114.233.42 8333 inside  192.168.0.50 8333
访问成功,界面如下【注意图中的细节】:
6、 此时抓包情况为

由8222端口实现3次握手到重定向到8333端口通信过程中, TCP连接没有出现断开现象。
根因
1、 TCP老化时间问题。
2、 多端口通信问题。
3、 客户网络环境问题。
建议与总结
仔细观察,需要配合抓包工具进行分析

END