Como posso descobrir por que meu servidor web está recusando o tráfego do meu proxy da web?

1

Eu tenho um problema estranho que não consigo descobrir. Vou começar essa pergunta com o fato de que essa configuração exata estava funcionando bem e, por algum motivo, parou de funcionar corretamente.

Eu tenho um proxy da Web para garantir que os usuários em um dos escritórios de meus clientes tenham o tráfego da Web filtrado antes de acessarem a Internet. Esse proxy ( Quinto Labs QLProxy ) fica na DMZ dessa rede. Além disso, o DMZ é um servidor da Web que hospeda vários aplicativos pequenos.

O fluxo de tráfego é o seguinte (para navegação na web)

USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Outside world

O fluxo de tráfego quando um usuário tenta acessar um site hospedado no servidor da Web na DMZ é o seguinte

USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Web Server (172.16.0.7)

Recentemente, o servidor da web começou a recusar tráfego para todos os sites hospedados no servidor da web, com exceção de um deles. A mensagem de erro no navegador é The system returned: (110) Connection timed out

As configurações do site que funcionam são aparentemente idênticas àquelas que não funcionam. Ao navegar para um site no servidor da Web que não funciona, vejo SYN_SENT com um netstat -ant direcionado para o servidor da web. Também vejo SYN SENT no meu roteador do proxy para o servidor da web. O DNS resolve bem tanto para o site de trabalho quanto para aqueles que não funcionam. Eu tenho entradas no arquivo /etc/hosts no servidor proxy para garantir sua precisão. Eu tentei usar o endereço IP privado e o endereço IP público para essas entradas e os resultados parecem os mesmos.

Deixar o firewall completamente no servidor web não muda nada e a conexão ainda é recusada.

Alguém sabe por que isso pode estar acontecendo, ou é capaz de me dizer como eu poderia descobrir por que isso está acontecendo?

EDITAR:

  • Até onde sei, nada mudou para causar esse problema - não consigo pensar em nada que tenha mudado e que possa ter causado isso.
  • As regras do iptables estão vazias na máquina Proxy
  • Se eu fizer um telnet no servidor web a partir do proxy usando o endereço IP interno, ele funciona, no entanto, se eu fizer o telnet através do endereço IP externo (usando a porta 80), ele não funciona. Isso é uma questão NAT, então?
  • Servidor da Web é o Servidor 2012
  • Nenhuma alteração de firewall foi feita na máquina proxy ou no servidor da Web.
por DKNUCKLES 03.07.2013 / 16:16

1 resposta

2

Você não descreve qual é o seu dispositivo NAT, mas parece-me, para mim, que o dispositivo NAT não é capaz de fazer hairpin (ou loopback) NAT .

É desconcertante como isso pode ter mudado de repente. Eu posso pensar em várias possibilidades. Talvez você tenha alterado recentemente algo com a configuração do dispositivo NAT. Também é possível que você esteja usando o DNS de período dividido para retornar os endereços particulares do site (em oposição ao endereço público) e esses registros foram removidos recentemente. Talvez seu servidor proxy estivesse usando um servidor DNS interno com registros de horizonte dividido e foi recentemente reconfigurado para usar o DNS da Internet.

A execução de um sniffer no servidor da web e a confirmação de que os pacotes SYN do proxy não estão chegando ao servidor da web tendem a culpar seu dispositivo NAT.

    
por 03.07.2013 / 21:12