问题描述:
企业网关防火墙,上面配置的内网服务器端口映射。
问题点:外网地址+端口映射到内网的地址+端口,外网发起tcp的连接(telnet),握手完成后,迅速被拒绝。
问题现象:
[c:\~]$ telnet 119.4.113.188 8074
Connecting to 119.4.113.188:8074...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Connection closed by foreign host.
Disconnected from remote host(119.4.113.188:8074) at 09:14:13.
Type `help' to learn how to use Xshell prompt.
同样的环境,从内网一台linux主机telnet目标服务器N1相同端口,就能正常访问。
同样的环境,从外网相同PC上telnet目标服务器N1的另外一个业务8050端口,也能正常访问。
外网请求,内网N1上8074抓包,结果是失败,服务端会断开TCP连接。
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond1, link-type EN10MB (Ethernet), capture size 262144 bytes
09:23:00.657695 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [S], seq 3517001221, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
09:23:00.657724 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [S.], seq 2274427743, ack 3517001222, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
09:23:00.658732 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [.], ack 1, win 16425, length 0
09:23:00.658842 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [F.], seq 1, ack 1, win 229, length 0
09:23:00.659792 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [.], ack 2, win 16425, length 0
09:23:00.696125 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [F.], seq 1, ack 2, win 16425, length 0
09:23:00.696146 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [.], ack 2, win 229, length 0
内网 请求,内网N1上8074抓包,结果是正常。
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond1, link-type EN10MB (Ethernet), capture size 262144 bytes
09:27:17.933802 IP 192.168.2.160.48506 > yl-1.gadugadu: Flags [S], seq 1964969136, win 29200, options [mss 1460,sackOK,TS val 1829330827 ecr 0,nop,wscale 7], length 0
09:27:17.933843 IP yl-1.gadugadu > 192.168.2.160.48506: Flags [S.], seq 3255056864, ack 1964969137, win 28960, options [mss 1460,sackOK,TS val 4170294127 ecr 1829330827,nop,wscale 7], length 0
09:27:17.933999 IP 192.168.2.160.48506 > yl-1.gadugadu: Flags [.], ack 1, win 229, options [nop,nop,TS val 1829330828 ecr 4170294127], length 0
09:27:19.493587 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [P.], seq 2959725179:2959725195, ack 2205810516, win 239, options [nop,nop,TS val 1829332387 ecr 4170265686], length 16
09:27:19.493675 IP yl-1.gadugadu > 192.168.2.160.41258: Flags [P.], seq 1:17, ack 16, win 235, options [nop,nop,TS val 4170295687 ecr 1829332387], length 16
09:27:19.493833 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [.], ack 17, win 239, options [nop,nop,TS val 1829332388 ecr 4170295687], length 0
经对比发现,外网发起的TCP连接,经防火墙端口映射后,tcp包部分的option内容与内网发起的不完全一致,主要不同点在窗口大小TS val,时间戳,No-Operation (NOP)多了一个,Window scale:值不一样。
想问下,F1020上同样的端口映射到同一服务器,其他端口都能正常映射,为啥这个端口通了立马被拒,是包被修改后哪里不对吗?
组网及组网描述:
网络环境: PC----INTERNET ---- H3C SecPath F1020 -----ROUTER----SERVER N1
PC端环境是WIN7
serverN1 CentOS 7.3
- 2019-06-18提问
- 举报
-
(0)
最佳答案
没有吧,用内网的服务器对比测试连接,TCP三次握手完成后,没有被服务端断开,并且都有数据开始传输了。PSH表示有 DATA数据传输,
09:27:19.493587 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [P.], seq 2959725179:2959725195, ack 2205810516, win 239, options [nop,nop,TS val 1829332387 ecr 4170265686], length 16
而且就算是用其他通道传输,也不至于把这个连接就立即断开啊,内网连接这个端口,连接上了很稳定,没有被断开。
- 2019-06-18回答
- 评论(1)
- 举报
-
(0)
那可以在防火墙前后抓取报文用wireshark分析下除了地址转换还有什么区别。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明