一、問題
接到客戶訊息,外網訪問內網虛擬主機的部分埠不通,
埠:580、610
二、思路
根據網路架構找出存在影響埠連通性的原因
1.硬體防火墻
- NAT策略中服務埠的開啟
- 訪問控制串列中對埠的放行/阻斷狀態
2.系統防火墻
- 防火墻必須添加相應埠
- 網卡名稱必須添加相應區域
- 埠必須為監聽狀態
三、處理程序
1.遠程登錄硬體防火墻查看策略資訊,發現相應埠是開通狀態
2.內網環境中,telnet目標埠,埠不通;
由于測驗路徑中,沒有可以影響到埠連通性的設備及策略,隨即將問題定位在目標主機系統防火墻上
telnet [ip] port
Centos7.0版本以上默認安裝firewall
3.查看firewall-cmd的運行狀態
firewall-cmd --state
4.將默認區域設定為trusted
firewall-cmd --get-default-zone=trusted-permanent
5.將相應埠添加到trusted
firewall-cmd --permanent --zone=trusted --add-port=580/tcp
將埠成功添加至區域后測驗埠發現仍然不通,可能是網卡沒有添加到相應區域
6.查看網卡檔案并將網卡添加到trusted
firewall-cmd --permanent --zone=trusted --change-interface=eth0
經測驗后仍然不通
7.使用ip addr 查詢網卡資訊,發現網卡名稱與組態檔不同
ip addr
8.將br0與eth0同時添加到trusted區域中
(注意:如果該網卡已經存在一個區域時,必須添加后將firewall stop掉,再start才可以成功更改,不然即使重新加載firewall也無法生效)
經測驗仍然不通
查詢資料發現涉及到linux系統的埠連通性取決于3個方面
- 防火墻必須添加相應埠
- 網卡名稱必須添加到相應區域
- 埠必須為監聽狀態
9.使用netstat -tlunp以后發現580并沒有被監聽
(TCP6意思為監聽ipv6地址)
netstat -tlunp
10.聯系客戶除錯軟體,將軟體監聽埠改為580后測驗,telnet埠通,問題解決
四.總結:
1.在虛擬化服務器上ip addr中顯示的網卡名稱為現使用的網卡名稱
2.了解影響埠的3個前置條件,
3.監聽為被動的,無法主動添加監聽埠
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/38830.html
標籤:其他