• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C SecPath F1020 端口映射后tcp连接被拒

2019-06-18提问
  • 0关注
  • 1收藏,1781浏览
粉丝:0人 关注:0人

问题描述:

企业网关防火墙,上面配置的内网服务器端口映射。

问题点:外网地址+端口映射到内网的地址+端口,外网发起tcp的连接(telnet),握手完成后,迅速被拒绝。

问题现象:

[c:\~]$ telnet 119.4.113.188 8074 

 Connecting to 119.4.113.188:8074... 

Connection established. 

To escape to local shell, press 'Ctrl+Alt+]'. 

 Connection closed by foreign host. 

 Disconnected from remote host(119.4.113.188:8074) at 09:14:13. 

 Type `help' to learn how to use Xshell prompt.


同样的环境,从内网一台linux主机telnet目标服务器N1相同端口,就能正常访问。

同样的环境,从外网相同PC上telnet目标服务器N1的另外一个业务8050端口,也能正常访问。


外网请求,内网N1上8074抓包,结果是失败,服务端会断开TCP连接。


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on bond1, link-type EN10MB (Ethernet), capture size 262144 bytes

09:23:00.657695 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [S], seq 3517001221, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

09:23:00.657724 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [S.], seq 2274427743, ack 3517001222, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0

09:23:00.658732 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [.], ack 1, win 16425, length 0

 

09:23:00.658842 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [F.], seq 1, ack 1, win 229, length 0

09:23:00.659792 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [.], ack 2, win 16425, length 0

09:23:00.696125 IP 119.6.98.79.11193 > yl-1.gadugadu: Flags [F.], seq 1, ack 2, win 16425, length 0

09:23:00.696146 IP yl-1.gadugadu > 119.6.98.79.11193: Flags [.], ack 2, win 229, length 0


内网 请求,内网N1上8074抓包,结果是正常。

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on bond1, link-type EN10MB (Ethernet), capture size 262144 bytes

09:27:17.933802 IP 192.168.2.160.48506 > yl-1.gadugadu: Flags [S], seq 1964969136, win 29200, options [mss 1460,sackOK,TS val 1829330827 ecr 0,nop,wscale 7], length 0

09:27:17.933843 IP yl-1.gadugadu > 192.168.2.160.48506: Flags [S.], seq 3255056864, ack 1964969137, win 28960, options [mss 1460,sackOK,TS val 4170294127 ecr 1829330827,nop,wscale 7], length 0

09:27:17.933999 IP 192.168.2.160.48506 > yl-1.gadugadu: Flags [.], ack 1, win 229, options [nop,nop,TS val 1829330828 ecr 4170294127], length 0

 

09:27:19.493587 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [P.], seq 2959725179:2959725195, ack 2205810516, win 239, options [nop,nop,TS val 1829332387 ecr 4170265686], length 16

09:27:19.493675 IP yl-1.gadugadu > 192.168.2.160.41258: Flags [P.], seq 1:17, ack 16, win 235, options [nop,nop,TS val 4170295687 ecr 1829332387], length 16

09:27:19.493833 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [.], ack 17, win 239, options [nop,nop,TS val 1829332388 ecr 4170295687], length 0


经对比发现,外网发起的TCP连接,经防火墙端口映射后,tcp包部分的option内容与内网发起的不完全一致,主要不同点在窗口大小TS val,时间戳,No-Operation (NOP)多了一个,Window scale:值不一样。

想问下,F1020上同样的端口映射到同一服务器,其他端口都能正常映射,为啥这个端口通了立马被拒,是包被修改后哪里不对吗?


组网及组网描述:

网络环境: PC----INTERNET ---- H3C SecPath F1020  -----ROUTER----SERVER N1 

PC端环境是WIN7 

serverN1 CentOS   7.3


 

最佳答案

铁柱 九段
粉丝:23人 关注:1人

这个端口的业务是什么类型协议的业务,是不是和ftp一样多通道了,握手成功后会用另一个通道端口交互信息?

1 个回答
zhiliao_VuFOe 知了小白
粉丝:0人 关注:0人

没有吧,用内网的服务器对比测试连接,TCP三次握手完成后,没有被服务端断开,并且都有数据开始传输了。PSH表示有 DATA数据传输,

09:27:19.493587 IP 192.168.2.160.41258 > yl-1.gadugadu: Flags [P.], seq 2959725179:2959725195, ack 2205810516, win 239, options [nop,nop,TS val 1829332387 ecr 4170265686], length 16   

而且就算是用其他通道传输,也不至于把这个连接就立即断开啊,内网连接这个端口,连接上了很稳定,没有被断开。

那可以在防火墙前后抓取报文用wireshark分析下除了地址转换还有什么区别。

铁柱 发表时间:2019-06-18 更多>>

那可以在防火墙前后抓取报文用wireshark分析下除了地址转换还有什么区别。

铁柱 发表时间:2019-06-18

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明