Juniper防火墙划分三个端口:

1.E0/0连接内网网络,网段是172.16.1.0/24,E0/0的端口ip地址是172.16.1.1,作为内网网络的网关

2.E0/1连接DMZ区域,网段是172.16.2.0/24,E0/1的端口ip地址是172.16.2.1,作为DMZ的网关

3.E0/2连接外网区域,网段是202.202.202.0/24,E0/2的端口ip地址是202.202.202.202,同时配置默认路由,指向202.202.202.1

划分为三个不同区域,策略如下:

1.E0/0是trust区域,trust区域能够访问DMZ和untrust区域

2.E0/1是DMZ区域,DMZ区域能够访问trust和untrust区域

3.E0/2是untrust区域,untrust区域能够访问DMZ区域

PC连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/0端口,PC的ip地址是172.16.1.5,网关是172.16.1.1,服务器连接到交换机上,交换机的有个端口连接到Juniper防火墙的E0/1端口,服务器的ip地址是172.16.2.5,网关是172.16.2.1配置完成后,出现了以下问题:

1.PC能够ping通172.16.1.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.2.1

2.服务器也能够ping通172.16.2.1,也能够ping通202.202.202.202,也能够上网,但是不能ping通172.16.1.1

为了找出问题所在,在策略里面增加日志记录功能,发现和DMZ区域通信时,相应的策略并没有任何的日志记录,判断数据并没有到达Juniper或者Juniper对数据进行了过滤。

后来发现是PC的掩码配置错误,应该为255.255.255.0,配置错误为255.255.0.0。和DMZ区域(172.16.2.0/24)通信时误以为和自己是一个网段的,所以会arp广播查询mac地址,但是广播包无法通过Juniper的三层口。即使有mac地址,172.16.1.5和172.16.2.5通信时,二层源mac地址是172.16.1.5的mac地址,目的mac地址是172.16.2.5的mac地址。这个包发给交换机后,由于没有该mac地址对应的端口,会从所有端口洪泛此包,到达Juniper后,发现目的mac地址并不属于自己的,会进行丢弃处理,所以通信仍不能建立。

junper防火墙之自摆乌龙的更多相关文章

  1. CentOS7使用firewalld打开关闭防火墙与端口(转载)

    1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disabl ...

  2. 解决开启服务器防火墙导致ftp不能连接的问题

    在防火墙设置的"高级"选项卡中的"网络连接设置"--"本地连接"--"设置"中添加了"FTP服务器" ...

  3. Linux网卡驱动安装、防火墙原理

    安装网卡驱动程序: 需要检查是否安装kernel依赖包: rpm –q kernel-devel #检查kernel依赖包是否安装 yum –y install kernel-devel 检查gcc和 ...

  4. centos6和centos7防火墙的关闭

    CentOS6.5查看防火墙的状态: [zh@localhost ~]$service iptable status 显示结果: [zh@localhost ~]$service iptable st ...

  5. 解决WINDOWS防火墙开启后Ping不通

    WINDOWS系统由于安全考虑,当开启防火墙时,默认不允许外主机对其进行ping功能,即别的电脑ping不通本机.别的主机ping不通本机是因为本机的防火墙关闭了ICMP回显功能,只要把这回显功能打开 ...

  6. Linux配置防火墙 开启80端口的方法

    命令行输入: vi /etc/sysconfig/iptables 将 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT ...

  7. XSS 前端防火墙 —— 整装待发

    到目前为止,我们把能用前端脚本防御 XSS 的方案都列举了一遍. 尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现.我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程 ...

  8. CentOS7安装iptables防火墙

    CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables st ...

  9. CentOS7使用firewalld打开关闭防火墙与端口

    1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disab ...

随机推荐

  1. angularjs 结构的两种写法(2)

    app.js里面 route.js 本项目中的路由写法,路由的意思是:对应的跳转页面路径,比如此处当路由是member.user-statisttic时,是会跳转到url:http://.../use ...

  2. hive中对子查询如in,exists等支持

    案例情况:同事使用公司数据探查跑一段代码,部分代码如下,报错,显示不支持in内的子查询.但是直接用虚拟机去跑的话代码没有任何报错,也出结果,很奇怪. SELECT t1.SIGN_CODE AS bu ...

  3. 两个惊艳的python库:tqdm和retry

    转载到请包括本文地址:http://spaces.ac.cn/archives/3902/ Python基本是我目前工作.计算.数据挖掘的唯一编程语言(除了符号计算用Mathematica外).当然, ...

  4. Python 列表(List)Ⅱ

    删除列表元素 可以使用 del 语句来删除列表的元素,如下实例: . 以上实例输http://www.xuanhe.net/出结果: 注意:我们会在接下来的章节讨论remove()方法的使用 Pyth ...

  5. postman-变量

    Variables 什么是变量 变量是一个符号,可以接受不同的值.你可能根据你的项目经验,对其他语言的变量比较熟悉.在postman 的工作原理也是一样的 为什么使用变量 变量允许你在不同的地方重复使 ...

  6. linux-ssh加密与https安全-9

    非对称加密算法:RSA,DSA/DSS 对称加密算法:AES,RC4,3DES HASH算法:MD5,SHA1,SHA256 hash就是找到一种数据内容和数据存放地址之间的映射关系 (1) 文件校验 ...

  7. drwxr-xr-x是啥意思

    这里先说一下drwxr-xr-x是啥意思: 第一位表示文件类型.d是目录文件,l是链接文件,-是普通文件,p是管道 第2-4位表示这个文件的属主拥有的权限,r是读,w是写,x是执行. 第5-7位表示和 ...

  8. Linux shell - cut命令用法(转载)

    cut  [-bn] [file] 或 cut [-c] [file]  或  cut [-df] [file] 使用说明 cut 命令从文件的每一行剪切字节.字符和字段并将这些字节.字符和字段写至标 ...

  9. install_github无法安装 Rwebdriver包的解决方法

    1.通过install_githtb安装Rwebdriver包的错误如下: 提示不能打开URL,但是将URL地址输入浏览器地址栏,则可以下载包到本地 2.在网上搜索,发现可以通过本地文件来安装(ins ...

  10. ffmpeg精简编译

    项目上需要用到ffmpeg的接收功能,把rtp流转封装为ts吐udp组播流,不涉及编码,所以需要精简一下脚本如下: #!/bin/bash dir=$(pwd) echo $dir rm -rf $d ...