防火牆預設規則導致ospf無法正常建立鄰接關係

2022-06-16 20:21:12 字數 1023 閱讀 9020

目錄無論是哪家廠商的防火牆,配置思路都是一樣的,而且還有一點相同,都會分成幾個區域,我們拿結為防火牆來舉例子,預設分成三個區域:信任區(級別85),dmz(級別50)、,untrust(5),local(100),高區域級別的主機可以與低區域級別通訊,反過來就不行了,就是因為這個特性,有時候會給我們帶來一些困擾,別問我是怎麼知道的……

網路中的一些業務需要經過防火牆**,還有一些業務是需要防火牆自身參與其中,例如管理員會登入到防火牆上進行管理,分公司的人需要與防火牆建立vpn連線,防火牆和路由器之間會執行ospf路由協議,這些業務想 要正常執行就必須在防火牆配置相應的安全策略,允許local區域接收各個業務的報文,具體來講,就是要在防火牆的local安全區域與業務使用的介面所在的安全區域之間配置安全策略。

預設情況下,防火牆上沒有開啟ge01/01介面所在untrust區域和local區域的安全策略,這兩個區域預設不允許單播報文通過,這會有什麼後果呢?

後果就是防火牆的ge1/0/1介面和router1的ge0/0/1介面無法建立鄰接關係,通過dis ospf peer檢視,發現雙方關係卡在exstart就不動了!

為什麼?因為ospf在exstart狀態的時候要互動dd報文,這個報文是單播的,需要防火牆的local區域和untrust區域設定規則允許通過,現在沒有設定這個策略,於是就卡在exstart狀態了,這個在我工作之初,困擾了我好幾天的時間……,說多了都是淚

如果你在防火牆上通過dis firewall statistic system discarded檢視丟包資訊會發現丟棄了好多包,那應該怎麼做呢?配置兩個策略,將untrust到local區域的input和output都允許了,就可以了。

綜上所述,我們需要在防火牆上開啟執行ospf協議的介面所在的安全區域和local區域之間的安全策略,允許ospf報文通過,這樣防火牆才能和相連的裝置正常建立鄰接關係,而組播報文不受安全策略控制,也就不需要配置相應的安全策略。

外圍防火牆規則 內部防火牆規則

外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...

防火牆規則

raw表 主要用來決定是否對資料報進行狀態跟蹤 mangle表 用來修改資料報的tos服務型別 ttl生存週期 為資料報設定mark標記,以實現流量整形 策略路由等高階應用 filter表 用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報 prerouting鏈 prerouting鏈...

ubuntu預設防火牆

ubuntu 9.10預設的是ufw防火牆,已經支援介面操作了。在命令列執行ufw命令就可以看到提示的一系列可進行的操作。最簡單的乙個操作 sudo ufw status可檢查防火牆的狀態,我的返回的是 不活動 ubuntu 系統預設已安裝ufw.1.安裝 sudo apt get install ...