USG6300服务器映射跨运营商访问不通

发布时间:  2016-12-09 浏览次数:  165 下载次数:  0
问题描述

1,USG作为出口路由连接运营商,共有3个公网出口分别对应3家ISP,内网访问互联网都正常;

2,内部有服务器使用移动出接口IP对外做了NAT server映射,配置了智能选路和源进源出功能后,发现移动用户访问该映射的公网正常,电信和联通用户都访问不到

3,映射配置也没问题:nat server "YD SUZHOU" protocol tcp global 移动IP 8888 inside 192.168.80.18 8888 no-reverse

4,安全策略是全放行的

告警信息

不涉及

处理过程

1,电信用户直接访问映射的地址,查看不到任何会话

2,电信用户直接ping映射的公网IP地址不通,根据源目IP过滤查看不到会话信息,电信用户ping该映射地址对应的运营商接口又能通

   在防火墙display ip routing table +电信用户IP  路由也正常

3,检查安全策略是全放行的,排除策略限制,查看全局基本配置初步看都没什么问题

4,使用内网主机直接访问服务器的私网IP正常,防火墙也能ping通服务器地址,排除服务器问题

5,回顾以上现象,根据以上1,2,3怀疑防火墙的问题,直接在防火墙开启流通统计,查看统计结果显示有接收到并且全部丢弃了,丢包细节显示为攻击丢弃

6,再次查看攻击相关的配置,发现有开启IP欺骗攻击防范:firewall defend ip-spoofing enable

7,执行下Undo firewall defend ip-spoofing enable 再次测试问题解决

根因

对于这种IP欺骗攻击防范,设备会对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予丢弃

正如本例中电信用户访问映射的移动IP,应该是从移动接口进入USG的,但是根据访问的源IP地址进行路由(智能选路生成的)反查下一跳地址为电信接口,入接口和路由反查出接口不一致即被认为是IP欺骗,丢弃数据包

解决方案

系统视图下执行undo firewall defend ip-spoofing enable关闭IP Spoofing攻击防范功能后解决
建议与总结

1,类似这种报文分析应该能到达设备,但是看不到会话的情况。可以先做一下流量统计,比如这个问题,做流统显示的是攻击防范丢包。下一步的定位就比较有方向;

2,对于多出口涉及多个运营商又有配置nat server的场景不建议开启IP欺骗防范

END