问题描述:
防火墙透明串联在服务器汇聚交换机与核心交换机之间 策略全通无任何限制无端口封禁但导致下端服务器80端口不通 服务器交换机与核心交换机直连跳过防火墙就好使了 这是为什么
- 2026-04-13提问
- 举报
-
(0)
最可能的原因是防火墙的Web管理服务占用了TCP 80端口。在透明模式下,防火墙自己的IP地址可能仍在网络中生效,导致发往服务器80端口的请求,在到达防火墙时被其自身的Web服务截获,从而无法转发给后端服务器。
解决方法:
修改防火墙的Web管理端口,例如改为
9090。[Sysname] ip http port 9090# 以H3C设备为例重启Web服务或保存配置后,再次尝试访问服务器的80端口。
- 2026-04-13回答
- 评论(0)
- 举报
-
(0)
zhiliao_Gixe
五段
操作前请先备份配置(执行save命令),排查步骤如下:
1. **基础配置核查**
① 执行display security-policy ip,确认上下行安全域双向permit规则存在,且匹配80端口流量时计数增长,排除域归属错误、规则漏匹配问题。
② 执行display port trunk permit vlan [上下行物理接口],确认业务VLAN在接口放行列表,透明接口所属桥组配置正确。
2. **转发表核查**
执行display mac-address、display arp,确认防火墙已正常学习服务器、核心侧的MAC/ARP表项,无MAC地址冲突。
3. **丢包定位**
① 先全局配置tcp mss 1350测试,排除TCP大包分片被丢弃问题。
② 配置流统定位丢包点:
acl 3000
rule permit tcp source [服务器网段] 0 destination any destination-port eq 80
rule permit tcp source any destination [服务器网段] 0 source-port eq 80
# 上下行接口分别配置
qos car inbound acl 3000 per-ip
执行display qos car statistics确认流量是否入墙后未转出,再执行`display attack-defense policy
1. **基础配置核查**
① 执行display security-policy ip,确认上下行安全域双向permit规则存在,且匹配80端口流量时计数增长,排除域归属错误、规则漏匹配问题。
② 执行display port trunk permit vlan [上下行物理接口],确认业务VLAN在接口放行列表,透明接口所属桥组配置正确。
2. **转发表核查**
执行display mac-address、display arp,确认防火墙已正常学习服务器、核心侧的MAC/ARP表项,无MAC地址冲突。
3. **丢包定位**
① 先全局配置tcp mss 1350测试,排除TCP大包分片被丢弃问题。
② 配置流统定位丢包点:
acl 3000
rule permit tcp source [服务器网段] 0 destination any destination-port eq 80
rule permit tcp source any destination [服务器网段] 0 source-port eq 80
# 上下行接口分别配置
qos car inbound acl 3000 per-ip
执行display qos car statistics确认流量是否入墙后未转出,再执行`display attack-defense policy
- 2026-04-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
先给你结论:策略全通≠能通,透明模式防火墙常见坑基本就这几类,按下面顺序排查,90% 能立刻定位。
一、最常见、最典型原因(优先级从高到低)
1. 二层 MAC 地址学习 / 转发被阻断(最常见)
透明墙虽然不路由,但会转发二层帧。如果出现:
- 防火墙未学习到服务器 / 网关 MAC
- 或防火墙接口未加入正确 VLAN
- 或接口是
access而不是trunk
现象:
- 直连交换机正常
- 串墙后 80 不通、ping 可能也不通
- 抓包能看到请求进墙,但不出墙 / 回包丢了
排查
- 确认墙两侧接口都是 Trunk,允许业务 VLAN 通过
- 防火墙透明模式下,接口要加入对应 VLAN(很多设备默认只放 VLAN1)
- 查看防火墙 MAC 地址表,是否学到服务器 MAC
2. TCP 代理 / 会话异常 / 半开连接拦截
即使策略全通,很多防火墙默认会:
- 开启 TCP 代理、SYN 代理、TCP 状态检查
- 强制三次握手、超时清理、异常报文丢弃
现象:
- 简单 ping 可能通
- HTTP 80 建连失败 / 建连后断连
- 跳过墙完全正常
处理
- 关闭:TCP 代理、SYN Flood 防护、会话严格检查
- 或在全通策略里关闭 应用层检测、IPS、文件过滤(你提到了 IPS,极大概率是它)
3. IPS / 入侵防御 / 文件过滤误拦截(你明确提到了)
即使策略全放,IPS、病毒过滤、文件过滤、协议检查是全局生效的,会独立拦截。
典型表现:
- 串墙 80 不通
- 关 IPS / 文件过滤 立刻恢复
- 日志里出现:HTTP 协议异常、恶意文件、攻击特征、超长报文等
处理
- 临时 全局关闭 IPS、AV、文件过滤、协议异常检测
- 再测试 80 业务是否恢复
- 恢复后再逐步开策略,定位具体特征码
4. MTU 不一致 / TCP MSS 问题
透明墙可能会:
- 增加报文长度(加标签、加校验)
- 或接口 MTU 比交换机小
导致:
- TCP 建连正常,一传输大包就断
- HTTP 打不开页面 / 超时
- 直连正常
处理
- 统一两侧接口 MTU 为 1500
- 开启 TCP MSS clamping(MSS 1420 左右)
5. STP 环路防护 / 端口阻塞
防火墙透明模式介入后,交换机生成树可能:
- 把墙一侧端口置为
blocking - 或墙自身开启 STP 导致阻塞
现象:
- 时通时不通
- 刚插上正常,过一会儿断
处理
- 墙接口关闭 STP 或设为 edge port
- 交换机对接墙的口设为 PortFast / 边缘端口
6. 单向流量、来回路径不一致(“来回走不同路”)
服务器回包不经过防火墙,墙认为会话不合法,直接丢弃。
典型场景:
- 核心 ↔ 汇聚多链路
- 路由不对称
- 三层网关在核心,服务器网关不在墙
现象:
- 请求能到服务器
- 服务器回包走捷径不回墙
- 墙丢包
处理
- 确保来回路径都经过防火墙
- 或临时关闭会话状态检测(严格会话)
二、快速定位步骤(你照着做就行)
- 先完全关闭 IPS、文件过滤、防攻击、应用识别再测试 80,能通则是这些功能拦的。
- 检查接口模式:
- 交换机 ↔ 墙:必须都是 Trunk
- 墙接口放通所有业务 VLAN
- 关闭 TCP 代理、SYN 代理、严格会话检查。
- 查看防火墙会话表、丢包日志、IPS 日志:看是否有
deny、reset、attack记录。 - 两侧抓包:
- 进墙能抓到请求
- 出墙没有回应 → 墙内部丢弃
- 基本就是上述某一种。
- 2026-04-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论