junper防火墙之自摆乌龙
Juniper防火墙划分三个端口:
1.E0/0连接内网网络,网段是172.16.1.0/24,E0/0的端口ip地址是172.16.1.1,作为内网网络的网关
2.E0/1连接DMZ区域,网段是172.16.2.0/24,E0/1的端口ip地址是172.16.2.1,作为DMZ的网关
3.E0/2连接外网区域,网段是202.202.202.0/24,E0/2的端口ip地址是202.202.202.202,同时配置默认路由,指向202.202.202.1
划分为三个不同区域,策略如下:
1.E0/0是trust区域,trust区域能够访问DMZ和untrust区域
2.E0/1是DMZ区域,DMZ区域能够访问trust和untrust区域
3.E0/2是untrust区域,untrust区域能够访问DMZ区域
PC连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/0端口,PC的ip地址是172.16.1.5,网关是172.16.1.1,服务器连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/1端口,服务器的ip地址是172.16.2.5,网关是172.16.2.1配置完成后,出现了以下问题:
1.PC能够ping通172.16.1.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.2.1
2.服务器也能够ping通172.16.2.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.1.1
为了找出问题所在,在策略里面增加日志记录功能,发现和DMZ区域通信时,相应的策略并没有任何的日志记录,判断数据并没有到达Juniper或者Juniper对数据进行了过滤。
后来发现是PC的掩码配置错误,应该为255.255.255.0,配置错误为255.255.0.0。和DMZ区域(172.16.2.0/24)通信时误以为和自己是一个网段的,所以会arp广播查询mac地址,但是广播包无法通过Juniper的三层口。即使有mac地址,172.16.1.5和172.16.2.5通信时,二层源mac地址是172.16.1.5的mac地址,目的mac地址是172.16.2.5的mac地址。这个包发给交换机后,由于没有该mac地址对应的端口,会从所有端口洪泛此包,到达Juniper后,发现目的mac地址并不属于自己的,会进行丢弃处理,所以通信仍不能建立。
junper防火墙之自摆乌龙的更多相关文章
- CentOS7使用firewalld打开关闭防火墙与端口(转载)
1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disabl ...
- 解决开启服务器防火墙导致ftp不能连接的问题
在防火墙设置的"高级"选项卡中的"网络连接设置"--"本地连接"--"设置"中添加了"FTP服务器" ...
- Linux网卡驱动安装、防火墙原理
安装网卡驱动程序: 需要检查是否安装kernel依赖包: rpm –q kernel-devel #检查kernel依赖包是否安装 yum –y install kernel-devel 检查gcc和 ...
- centos6和centos7防火墙的关闭
CentOS6.5查看防火墙的状态: [zh@localhost ~]$service iptable status 显示结果: [zh@localhost ~]$service iptable st ...
- 解决WINDOWS防火墙开启后Ping不通
WINDOWS系统由于安全考虑,当开启防火墙时,默认不允许外主机对其进行ping功能,即别的电脑ping不通本机.别的主机ping不通本机是因为本机的防火墙关闭了ICMP回显功能,只要把这回显功能打开 ...
- Linux配置防火墙 开启80端口的方法
命令行输入: vi /etc/sysconfig/iptables 将 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT ...
- XSS 前端防火墙 —— 整装待发
到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程 ...
- CentOS7安装iptables防火墙
CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables st ...
- CentOS7使用firewalld打开关闭防火墙与端口
1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disab ...
随机推荐
- 数据可视化之颜色,线型,maker
https://blog.csdn.net/m0_37362454/article/details/82791527 https://blog.csdn.net/qiu931110/article/d ...
- element-ui升级笔记;echarts图表100px问题
1.element-ui的2.7以后的版本支持树形table结构的数据,考虑优化一下表格,就升级了,但是升级到最新的版本2.12发现table都出不来了,于是降级到2.7.目前功能正常,2.12的bu ...
- bootstrap-table给每一行数据添加按钮,并绑定事件
https://blog.csdn.net/mht1829/article/details/72633100 https://blog.csdn.net/qq_39215166/article/det ...
- web性能优化--服务器端(二)
静态资源用CDN部署 添加Expires或者cache-control报文头 Gzip压缩传输文件 配置Etags 使用Get ajax请求 避免空图片src 尽早flush response 减少c ...
- 浅谈redis分布式锁用法
使用redis的setnx命令进行实现 @Component @Slf4j public class RedisLock { @Autowired private StringRedisTemplat ...
- 基于element ui 实现七牛云自定义key上传文件,并监听更新上传进度
借助上传Upload 上传组件的 http-request 覆盖默认的上传行为,可以自定义上传的实现 <el-upload multiple ref="sliderUpload&quo ...
- day_14 匿名函数与内置函数连用 作业题
''' 要求: 从文件中取出每一条记录放入列表中,列表的每个元素都是` {'name':'egon','sex':'male','age':18,'salary':3000}`的形式 ''' all_ ...
- JAVA笔记24-IO流(2)-节点流举例
节点流类型 例1: import java.io.*; public class TestFileInputStream{ public static void main(String args[]) ...
- JAVA笔记17-容器之一 图、Collection接口、Iterator接口(重要)
掌握1136: (1)1个图 (2)1个类:Collections (3)3个知识点:For(了解),Generic泛型,Auto-boxing/unboxing(自动打包/解包) (4)6个接口:C ...
- DOM例子小结(一)
一.点击按钮切换图片 核心思路: 1.首先获取元素 2.为元素添加点击事件 3.当事件被触发时运行代码 <!DOCTYPE html> <html lang="en&quo ...