Strange Firewall Issue

1

Instalamos um servidor da Web em uma rede, ele foi recentemente movido de um ambiente de teste em outra sub-rede para um escritório diferente. Agora que temos o servidor no lugar, podemos acessá-lo através de seu IP interno, mas não podemos alcançá-lo no IP externo atribuído. Não tenho certeza do que fazer normalmente, uma vez que você permite que as portas 80 e 443 passem e mapeiam o IP externo para o interno, normalmente, você está funcionando.

Eu até fui longe ao desabilitar o Firewall no servidor IIS que está executando o servidor 2008. Eu posso acessar o site em seu ip interno tanto em HTTP quanto em SSL. O cara Admin me diz que o firewall tem as configurações adequadas, mas eu não tenho acesso suficiente para confirmar. Minha lógica usual diz-me que se eu puder acessá-lo dentro, contanto que o firewall / roteador esteja configurado corretamente, eu também conseguiria acessar fora da rede.

Este é o servidor 2008 e não o R2. Eu sei que o Windows 2008 pode diferenciar o tráfego de redes locais e externas no firewall, mas imaginei que teria sido ignorado pela desabilitação do firewall do Windows. Meus olhos continuam indo para o firewall, mas quero ter certeza de que não estou perdendo nada.

Existe algo diferente do que eu mencionei que deveria estar checando? Eu estou em uma perda

    
por Tyson Navarre 10.05.2011 / 22:26

2 respostas

1

Assim, o seu problema parece ser que você está tendo dificuldade em determinar onde o problema está, ou seja, se o problema está no novo servidor da Web que foi movido de um ambiente de teste para outra sub-rede.

Parte da confusão está na terminologia. Você precisa esclarecer, mesmo que apenas pela sua própria sanidade entre o firewall da rede (que pode estar usando o software Checkpoint baseado em suas tags, mas de outra forma não mencionado), e o Firewall do Windows do sistema de servidor web no servidor web.

Para "IP externo", eu entendo que você quer dizer um endereço IP roteável que pode ser alcançado através da Internet, ou em outras palavras, não um RFC 1918 endereço IP privado .

Sem conhecer a topologia de rede, como aludido por user48838 em sua boa resposta, é difícil dizer.

Com o Firewall do Windows ativado e as conexões recusadas ou recusadas registradas, se você não puder ver as conexões recusadas / rejeitadas para a conexão da Web ou as tentativas de conexão de rede com falha nos Logs do Visualizador de Eventos, esperaria que houvesse um problema com No que diz respeito à tradução do endereço de rede de destino (D-NAT ou DNAT) para encaminhar os pedidos externos para servidor web em sua rede ineternal com seu IP interno. Outras abordagens para encaminhar endereços IP externos podem ser possíveis, mas o DNAT é o mais comum.

Sendo um geek do Unix, eu normalmente usaria o tcpdump para verificar isso. Então, permita qualquer monitoramento TCP baseado em host no servidor ( WinDump , Ethereal , ou Wireshark ) para ver se está recebendo tentativas de conexão TCP para a porta 80 (HTTP) ou 443. tcpdump "tcp port 80 or port 443"

Claro que como o @ user48838 disse, pode ser uma questão de sua rede não estar configurada para reencaminhar solicitações internas para seus endereços IP externos corretamente, o que pode ser um problema se você estiver tentando acessar o servidor web de a rede interna. Se isso não for um problema normal, você precisará modificar seus procedimentos de teste, como o uso de um proxy externo para teste.

Você não mencionou nenhum servidor proxy, presumo que não esteja envolvido nesta configuração de rede.

    
por 10.05.2011 / 23:12
2

"não pode alcançá-lo no IP externo atribuído"

Onde na rede esta sendo tentada? Interna ou externamente? Se internamente, você já tentou de um ponto externo também?

Se o seu IP externo puder ser acessado a partir de um ponto externo, mas não internamente, pode ser a configuração / capacidade do roteador fazer o tráfego de "loopback" que cruza / transita entre interno-externo-interno.

    
por 10.05.2011 / 22:38