[转] Xmanager跨Checkpoint防火墙访问不正常的解决方法

环境：Cisco6506E，Nokia IP690，Checkpoint，Xmanager3，AIX UNIX

拓扑：

 

故障现象：

一）           交换机01上的client跨网段能够访问10.2.2.1的xmanager服务；

二）           交换机01上的client跨Nokia防火墙无法访问交换机02上的10.4.2.1的xmanager服务；

三）           防火墙策略双向全部允许；

工作内容：

一 在client上访问10.2.2.1，并进行数据包捕获：

1）          client主动访问服务器的UDP177端口，服务器访问client的TCP6000端口；

2）          以上两个阶段，client和服务器采用主动方式连接对方；

 

二 Client访问10.4.2.1失败的情况：

1）          client主动访问服务器的UDP177端口，服务器无法访问client的TCP6000端口；rule1的策略是允许任何通信，但它阻止了x11服务。SmartView Tracker分析，下图限于参考

 

三 故障定位

1）          Checkpoint防火墙在配置双向策略都允许的情况下，仍有部分通信是被禁止的，必须手动添加策略；

2）          Unix服务器的Xmanager服务访问客户端的TCP端口，从6000开始累加，至6063，checkpoint已经做了此类定义，X11

四 故障排除

1）          新增策略：允许10.4.2.1访问client的X11服务；

2）          新增策略：允许client访问10.4.2.1的xmanager（UDP117）服务。

3）          删除原有双向允许所有通信策略，紧缩策略范围。