无法连接或 Ping 防火墙接口
164326
Created On 09/26/18 13:48 PM - Last Modified 06/12/23 10:06 AM
Resolution
问题
当试图访问或连接到某个服务的防火墙接口 IP 地址或尝试 ping 接口时, 通信将失败。 这可能是通过 HTTPS 或 SSH 管理设备, 连接到 GlobalProtect 门户或 NetConnect web 门户, 或者只是试图 ping 接口。
解决办法
- 请确保该接口具有为其配置的适当管理配置文件, 以启用所需的服务, 并允许从中进行连接的 IP 地址。
- 如果管理配置文件可疑, 则运行以下计数器命令并监视计数器增量: >> 显示计数器全局名称 flow_host_service_deny
- 通过检查通信日志, 验证没有安全策略阻止通信到接口。将目标地址筛选为防火墙接口的 IP 地址。通常, 安全策略不会阻止连接, 但这是可能的。
- 如果所达到的接口与启动数据包 ingresses 到防火墙中的接口不同, 并且这两个接口位于不同的区域中, 则将被视为跨区域会话, 并且必须存在安全策略,允许会话。
- 如果所达到的接口与启动数据包 ingresses 到防火墙中的接口相同, 则将视为区域内会话, 并且不需要安全策略, 因为默认情况下允许使用区域内会话。但是, 显式定义的拒绝任何区域安全策略的存在将覆盖默认允许。然后有必要有一个更明确的策略, 允许启动会话到防火墙接口。
注意:如果没有为接口会话观察到日志, 请记住, 当对区域间会话或区域内会话执行默认操作时, 不会为该拒绝或允许 (分别) 生成通信日志.
- 如果问题仍然没有解决, 另一个可能的问题是源 NAT 的存在, 它将起始数据包的源地址转换为所到达接口的地址。这会导致防火墙在数据包的处理过程中早期丢弃数据包, 因为在翻译数据包看起来像是土地攻击时, 源地址和目标位置都是相同的。
- 这通常是当测试连接到 GlobalProtect 门户时所看到的行为, 当它在外部接口上配置时, 测试计算机位于内部网络上, 因为启动数据包将被转换为外部接口, 而用于访问外部区域的源 NAT。
- 在这种情况下, 将不会看到任何通信日志, 因为此机制在日志记录过程之前启动。
- 发出以下命令检查增量以查看是否存在问题: >> 显示计数器全局名称 flow_policy_nat_land
- 要解决此问题, 请克隆违规的 nat 策略, 并将源转换更改为 "无", 并将目标地址转换为相关接口的 IP 地址, 最后将该策略直接置于违规的 NAT 策略之上。 这可防止仅当目标为接口时, 才会为这些主机进行转换。
- nat 策略可能导致的另一个问题是, 如果目标 NAT 配置为将目标地址作为相关接口地址的数据包转换为服务器的地址。 通常, 此目标 NAT 将涉及外部接口的公共 IP 地址, 因此此问题可能会遇到两种不同的 NAT 配置。
- 如果目标 NAT 是针对所有服务的, 则即使目的是要到达接口而不是远程主机, 也会翻译任何带有目标地址的数据包作为访问该 NAT 策略的接口。以下操作可以解决此问题:
- 如果服务器只需要特定的服务或不同的端口, 则端口需要到达防火墙接口, 然后将 NAT 策略缩小, 以便只翻译必要的服务并将其转发到服务器。
- 如果为该目标指定了特定服务, 则只有与这些服务相匹配的目标端口的数据包才会被转换为主机, 如果端口443是转换后的服务, 则将无法访问与目标 NAT 策略匹配的数据包的防火墙接口。 以下操作可以解决此问题:
- 如果有可用地址, 请将另一个地址添加到防火墙接口。 如果在同一子网中添加地址, 则子网掩码将需要32。
- 必须更改防火墙接口地址, 否则必须更改服务器地址。
- 如果上面的选项都不是所需的操作, 那么问题很可能是由于没有足够的公共地址提供服务。 更复杂的解决方法可能是可能的, 但可能需要获取额外的公共地址。
- 如果目标 NAT 是针对所有服务的, 则即使目的是要到达接口而不是远程主机, 也会翻译任何带有目标地址的数据包作为访问该 NAT 策略的接口。以下操作可以解决此问题:
- 如果以上这些都不能解决问题, 那么在启动计算机和防火墙接口之间的网络上, 绝对值得检查路由。 检查其他计算机是否可以访问防火墙接口。 如有必要, 在防火墙上进行数据包捕获, 以查看启动数据包是否甚至到达防火墙。
将阻止信任区域中的主机访问外部接口 IP 地址的示例源 NAT:
将阻止从 Internet 访问外部接口 IP 地址的示例目标 NAT:
注意:这些决议不适用于防火墙的管理界面.
业主: astanton