由于漏配置了NAT Server导致客户端经防火墙登录数据库时连接超时

发布时间:  2014-09-20 浏览次数:  146 下载次数:  0
问题描述

组网结构:

防火墙上配置NAT Server,客户端通过防火墙登录数据库服务器提示连接超时。

处理过程
1. 测试客户端IP为192.168.0.65,服务器IP地址为172.29.128.67。客户端侧ping服务器正常,说明防火墙NAT转换正常,且链路层也没有问题。
2. 分析访问不通的抓包,发现客户端和服务器的TCP连接交互正常,服务器在报文的载荷中告知客户端去连接另外一台服务器172.16.95.8的1521端口。

但客户端多次尝试连接172.16.95.8的1521端口失败,客户端发了SYN报文,服务器没有应答。

从配置上看防火墙只配置了172.29.128.67到192.168.220.10的nat server,服务器172.16.95.8没有配置nat server,导致了业务不通。
nat server zone untrust global 172.29.128.67 inside 192.168.220.10
根因
现网的数据库业务涉及与多个服务器进行交互,现网漏配了nat server导致业务不通。
解决方案
修改防火墙nat server配置,对于所有涉及的服务器都进行正确转换。

END