目录
NAT Server故障排查思路 (出现配置端口映射后外网设备无法访问本地内网中的服务器的故障)
1、检查服务器内网用户是否能够直接访问该服务(测试服务器是否正常提供服务,以及服务器内网IP地址正确)
2、检查服务器到网络出口设备是否能够正常通信(ping、telnet、wget)
3、检测外网发出来的流量是否能够到达客户端出口设备(通过在出口设备的外网口抓包测试—如果没有收到外网来的流量,可能是服务器没有在运营商备案—即将80端口给拦截了;此种情况可以将AF上的端口映射换为其它端口再尝试一下;如果该端口过来了,那就是运营商将该地址的80端口封锁掉了,需要去找运营商)
4、检测外网的数据包到达出口设备后有无匹配出口设备的映射规则,(在出口设备的WAN 和 LAN口分别抓包,如果LAN口没有报文,则说明可能端口映射配置错误),(也可能安全策略给过滤了,可以开启出口设备上的拦截日志—开启出口设备上的拦截日志后,会直接开启数据直通,即数据即使被过滤策略匹配了,还是可以通过出口设备,此时可以通过策略将其放通)
5、由于AF去访问服务器可以通;外部访问到达AF也完成了转换,但是无法到达服务器(两者不同的地方就是数据包的源IP不一样);此时可以查看中间设备是否将该数据包拦截-即该报文匹配上了过滤策略(在中间的安全设备上开启拦截日志—直通开启,再次进行测试);最后发现被AC设备上的防火墙规则丢包
6、也有可能服务器本身上的防火墙规则拦截掉了(如果客户不想要外部的IP地址访问该服务器,可以在出口设备上将源IP为外部IP地址 转为 私网IP地址---即进行双向NAT转换)
在出口做了一条Nat Server,把外网的80端口映射给内网的Web服务器 80端口,配置完成后网站无法访问(但是当出口设备开启抓包之后,网站就可以从外网访问了)
首先要了解抓包工具的原理
抓包是利用了网口的混杂模式(开启了抓包就是开启了网口的混杂模式)
默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢掉
混杂模式指的是设备接收所有经过网卡的数据包(包括不是发给本机的包—即便数据包的MAC地址不是自己也会去处理);简单来讲混杂模式就是指网卡能接收所有通过它的数据流
因此排查出故障的原因可能如下
可能对端外网发过来的请求包的目的MAC不是出口设备的WAN口的MAC
造成现象的原因:有可能是前端运营商设备在80端口的数据上面做了MAC绑定(有可能现在的出口设备替换了之前的网络出口设备,但是运营商MAC绑定的是之前的网络出口设备,没有更改)
解决方法
1、去运营商更新MAC地址绑定表
2、出口设备后台打开WAN口的混杂模式(有风险)
在出口设备做NAT Server,将WAN口的8090端口映射给WEB服务器的80端口;但是现在网站无法访问(客户怀疑是端口映射不成功)
进行抓包测试(通过外网测试PC访问网站,在外网PC和用户出口设备上进行抓包)
PC 抓包得到的结果
PC与服务端建立了TCP三次握手,说明端口映射是成功的
PC发送GET请求得不到响应(可能是服务器拒绝响应或者服务存在问题、也有可能是该报文被AF拦截、或公网拦截)
PC收到了AF发来的RST报文
用户出口设备上抓包得到的结果
内网服务器与PC建立TCP三次握手
内网服务器收到GET请求,并回应的HTTP响应,但是从抓PC的 包来看PC没有收到(有可能是公网设备将此数据包拦截)
此时客户端网络出口设备上又收到了PC发来的RST报文(但是PC端没有抓到PC发起来的RST报文,说明该报文不是PC产生的,可能是有人伪造的该数据包---通过TTL发现该RST报文发来的TTL与其它报文相差太大也可以确定该数据包不是PC发到的)
判断结果
因此可以判断是公网上存在的问题(可能是公网上的设备做了内容过滤,服务器发送的HTTP响应报文可能匹配到了设备上的安全策略,然后伪造报文向服务器发送RST)
如果还不确定问题,还可以在出口设备的WAN口直接连接一台设备来访问web服务器,发现是否能够访问内网服务器,如果访问成功,则就确定了是运营商公网问题
客户需要内网用户通过公网IP访问内网的服务器(这样可以保证内网和外网的访问方向一致、并对内隐藏内网服务器的IP地址)
需要实现当PC输入服务器域名或服务器的公网IP地址(202.X.X.X)时能够访问HTTP服务器
如果出口设备上只配置目的地址转化(来回数据包不一致)
1、PC发出的数据包
SIP: 172.172.10.10:8888 DIP:202.X.X.X:80
2、在AF上配置目的IP地址转换,映射到HTTP Server(将202.X.X.X:80转为172.172.10.100:80);当数据包到达AF后,进行目的地址转换
SIP: 172.172.10.10:8888 DIP: 172.172.10.100:80
3、HTTP Server收到后回复(此时就直接发送到PC,造成来回数据包不一致,PC不会处理)
SIP: 172.172.10.100:80 DIP: 172.172.10.10:8888
如果出口设备上将源、目地址同时转换(先匹配目的地址映射,再匹配源地址映射),可以实现客户要求
1、PC发出的数据包
SIP: 172.172.10.10:8888 DIP:202.X.X.X:80
2、在AF上配置目的IP地址转换,映射到HTTP Server(将202.X.X.X:80转为172.172.10.100:80);在AF上配置源IP地址转换(将172.172.10.10:8888映射为172.172.10.1:8888);当数据包到达AF后,进行源、目的地址转换
SIP: 172.172.10.1:8888 DIP: 172.172.10.100:80
3、HTTP Server收到后回复(此时就直接发送到PC,造成来回数据包不一致,PC不会处理)
SIP: 172.172.10.100:80 DIP: 172.172.10.1:8888
4、AF收到后根据源目地址转换的映射表,将数据包还原
SIP:202.X.X.X:80 DIP: 172.172.10.10:8888
5、此时PC收到报文后,来回数据包一致
