• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ER6300G3防火墙开启后443端口的访问超时

4天前提问
  • 0关注
  • 0收藏,70浏览
星辰大海
星辰大海 零段
粉丝:0人 关注:0人

问题描述:

防火墙做了如上的配置,允许443端口,禁用其它端口。https之类的访问没有问题,但像git clone,curl下载之类的长连接都是超时,会是什么原因?我关闭防火墙就没有问题。

4 个回答
按时间 按赞数
已采纳
刘浩存
刘浩存 九段
粉丝:17人 关注:1人

既然关闭防火墙后一切正常,且普通的 HTTPS 网页访问没问题,但 git clonecurl 下载等长连接会出现超时,这大概率不是简单的端口放行问题,而是防火墙的会话超时时间(Session Timeout)深度安全检测机制导致的。
以下是导致该问题的常见原因及排查思路:


 1. 检查 TCP 会话超时时间(最常见原因)

git clone 或大文件下载属于长连接,数据传输过程中可能会有短暂的静默期。防火墙会为每个 TCP 连接维护一个会话表项,如果这个会话的超时时间设置得过短(例如默认 30 秒或 60 秒),当长连接在传输间隙没有持续产生数据包时,防火墙会认为该连接已失效并提前将其从会话表中删除。
  • 现象:客户端还在等待数据,但防火墙已经单方面“掐断”了连接,导致客户端最终报 Connection timed out
  • 解决办法:登录 ER6300G3 防火墙的后台,找到安全策略会话管理相关的设置,查看 TCP 协议的会话超时时间。建议将普通 TCP 长连接的超时时间适当调大(例如调整为 3600 秒或更高),或者专门针对 443 端口设置更长的超时策略。


 2. 检查深度包检测(DPI)或 IPS 策略

现代的防火墙(包括 ER 系列)通常默认开启深度包检测(DPI)、入侵防御(IPS)或防病毒等高级安全功能。这些功能会对经过的数据包进行拆包和特征分析。
  • 现象:普通的 HTTPS 网页浏览流量较小且特征简单,容易通过检测;而 git 或 curl 下载的流量较大、持续时间长,容易被 DPI 引擎误判为异常流量(如 SSL 加密攻击、数据渗漏等)从而遭到拦截或丢弃。
  • 解决办法
    • 尝试在防火墙的安全策略中,暂时关闭针对 443 端口的 IPS、防病毒、应用识别等深度检测功能,测试长连接是否恢复正常。
    • 如果关闭后正常,说明确实是误判。你可以在策略中为内部受信任的服务器或特定业务流量添加例外规则,或者将相关策略的动作为“仅告警”而非“阻断”。


 3. 检查连接数限制(Connection Limit)

防火墙通常有限制单个 IP 或单个策略的最大并发连接数的功能。
  • 现象git clone 等操作可能会在短时间内建立多个并发连接。如果触发了防火墙的单 IP 连接数上限,超出部分的连接请求会被直接丢弃,导致超时。
  • 解决办法:检查防火墙是否开启了“连接数限制”或“防连接耗尽”类的策略,尝试调高限制阈值或暂时关闭该功能进行测试。


 4. 确认基础放行规则(双重检查)

虽然你提到已经允许了 443 端口,但建议再次确认以下两点,以排除基础配置遗漏:
  • 双向放行:确保防火墙的安全策略不仅允许了入方向(Inbound)的 443 流量,也允许了出方向(Outbound)的响应流量(大多数现代防火墙基于状态检测会自动放行回包,但部分严格策略需手动确认)。
  • 本地防火墙干扰:如果 ER6300G3 是作为网关,且后端还有真实的服务器,请确保后端服务器自身的系统防火墙(如 Linux 的 firewalld/iptables 或云主机的安全组)也放行了 443 端口,并且没有设置严格的连接状态限制。

暂无评论

zhiliao_Gixe
zhiliao_Gixe 六段
粉丝:10人 关注:9人

排查步骤:1. 检查TCP会话老化时间:执行display firewall session aging-time tcp,确认是否小于默认3600秒,过小会提前回收长连接会话。2. 检查是否开启TCP会话快速老化:执行display firewall session fast-aging,开启状态会强制回收空闲会话,影响长连接。3. 确认443端口安全策略无会话限制。
关键命令:若TCP老化时间过小,执行firewall session aging-time tcp 3600;若开启快速老化,执行undo firewall session fast-aging;无需HTTP ALG时可关闭:undo firewall alg http。

暂无评论

zhiliao_GeOM0O
zhiliao_GeOM0O 八段
粉丝:10人 关注:2人

一、你这个配置的核心问题:规则顺序 + 端口逻辑完全反了

你现在的规则:
  1. 优先级 30:TCP,放通 8443,80,443,53,853,4460
  2. 优先级 40:UDP,放通 1701,153,853,3123,500,4500,50,443,80
  3. 优先级 50:拒绝 TCP 0-49151
问题 1:拒绝规则优先级比放通低?不,50 比 30/40 低,所以 30/40 的放通规则是生效的,但这里有致命错误:
问题 2:你放通的只是目的端口,但 git/curl 的连接,会用到源端口的高位端口(1024-65535),而你的拒绝规则把 0-49151 全拦了
  • 你第三规则 拒绝 TCP 0-49151,这里的 “0-49151” 如果是源端口,那所有客户端发起的连接(源端口随机高位),都被这条规则拒绝了,因为你放通规则里没放源端口,而拒绝规则优先级更高。
  • 正常访问 https、网页能通,是因为网页连接短,且防火墙会话表提前建立了回包;但 git clone、curl 这种长连接 / 大文件传输,会话超时后,新的源端口连接被拒绝,就会直接超时。

二、长连接超时的直接原因(按概率排序)

1. 端口规则写反了(最高概率)

你的规则里:
  • 源端口范围是空白 / 默认 “所有”
  • 目的端口放了 443、80 等
  • 但第三规则 拒绝 TCP 0-49151源端口范围
    • 客户端发起的 TCP 连接,源端口是随机的 1024-65535,你的拒绝规则把 0-49151 全拦了,新的连接源端口命中拒绝规则,直接被丢包
    • 网页访问是短连接,会话表中已有回包;git/curl 是长连接,会话超时后需要新建连接,直接被拒绝。

2. 会话超时时间过短(次高概率)

ER6300G3 默认 TCP 会话超时时间很短(比如 300 秒),长连接(git clone 大仓库、curl 下载大文件)会因为会话被防火墙提前释放,导致连接中断 / 超时。

3. 状态检测 / ALG 限制(HTTPS 长连接被拦截)

ER6300G3 的 ALG 功能(比如 HTTPS、FTP)如果开启不当,会对长连接做额外检测,导致会话被异常断开。

4. 带宽 / 会话数限制

防火墙会话数满了,导致新连接无法建立。

三、修复方案(按步骤来)

步骤 1:修改规则,把 “拒绝规则” 改成拒绝目的端口,而不是源端口

你的第三规则 拒绝 TCP 0-49151,应该改成:
  • 源端口:所有
  • 目的端口:0-49151
  • 优先级:低于放通规则(比如 60)
这样逻辑才对:
  1. 先放通目的端口 443/80/53/853
  2. 再拒绝其他所有目的端口
  3. 源端口全程不限制,让客户端随机端口正常发起连接

步骤 2:调整 TCP 会话超时时间

Web 界面:系统设置 > 会话设置 > TCP会话超时
  • 把默认的 300 秒改成 3600 秒(1 小时),或更高
  • 命令行:
bash
运行
system-view firewall session aging-time tcp 3600

步骤 3:关闭不必要的 ALG 功能

bash
运行
system-view undo firewall alg http enable undo firewall alg https enable undo firewall alg ftp enable
(保留你需要的,比如如果用不到就全关)

步骤 4:调整规则顺序,把 “拒绝所有” 放到最后

你的规则优先级:
  • 30(TCP 放通)
  • 40(UDP 放通)
  • 50(TCP 拒绝)
要改成:
  • 30(TCP 放通)
  • 40(UDP 放通)
  • 60(TCP 拒绝其他目的端口)
  • 这样放通规则先命中,再拒绝其他。

四、临时验证方法(快速定位)

把第三规则(拒绝 TCP 0-49151)先禁用,测试 git clone/curl 是否正常:
  • 如果正常:100% 是端口规则写反 / 顺序问题
  • 如果还是超时:再查会话超时 / ALG

五、总结:你现在的规则是 “反向限制”

你本意是 “只允许目的端口 443/80,拒绝其他”,但实际配置成了:
  • 放通了目的端口 443/80,但源端口被拒绝规则拦了
  • 网页短连接能通是因为会话表回包,长连接新建会话被拒绝,直接超时。

暂无评论

星辰大海
星辰大海 知了小白
粉丝:0人 关注:0人

我能不能把所有的目的端口都拒绝?

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明