今天碰到了一个奇异的问题,具体情形如下图,中间一台NokiaIP防火墙,inside口下连接一台F5,F5的外网口为172.17.18.1,上面有一个vip为172.18.0.1。奇异情况如下:从10.1.1.1 ping 172.18.0.1是正常的,但是从F5上面ping 10.1.1.1的地址却不通。
于是我在防火墙上面建立了一条相关的策略,并记录日志。通过查看相关日志,得到如下:
于是马上查看inside的spoofing配置,原来问题竟然出在这里了。
分析如下:
从F5上ping 10.1.1.1的源地址是172.17.18.1,这个地址在防火墙的inside口的spoofing配置里面,所以能够到达10.1.1.1。而从10.1.1.1 ping 172.18.0.1过来的数据是正常的(这就是为什么我在F5上面能tcpdump到echo reply的包),但是回包到了防火墙后就被防火墙的inside口的spoofing丢弃了。
从F5上ping 10.1.1.1的源地址是172.17.18.1,这个地址在防火墙的inside口的spoofing配置里面,所以能够到达10.1.1.1。而从10.1.1.1 ping 172.18.0.1过来的数据是正常的(这就是为什么我在F5上面能tcpdump到echo reply的包),但是回包到了防火墙后就被防火墙的inside口的spoofing丢弃了。
到这里,突然想到了有一个牛人说的话:来回的路由不要单从设备上来看,二要认真分析源和目标地址,真有道理啊。切记切记!!!
本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/98742,如需转载请自行联系原作者