[转] Xmanager跨Checkpoint防火墙访问不正常的解决方法
环境:Cisco6506E,Nokia IP690,Checkpoint,Xmanager3,AIX UNIX
拓扑:
故障现象:
一) 交换机01上的client跨网段能够访问10.2.2.1的xmanager服务;
二) 交换机01上的client跨Nokia防火墙无法访问交换机02上的10.4.2.1的xmanager服务;
三) 防火墙策略双向全部允许;
工作内容:
一 在client上访问10.2.2.1,并进行数据包捕获:
1) client主动访问服务器的UDP177端口,服务器访问client的TCP6000端口;
2) 以上两个阶段,client和服务器采用主动方式连接对方;
二 Client访问10.4.2.1失败的情况:
1) client主动访问服务器的UDP177端口,服务器无法访问client的TCP6000端口;rule1的策略是允许任何通信,但它阻止了x11服务。SmartView Tracker分析,下图限于参考
三 故障定位
1) Checkpoint防火墙在配置双向策略都允许的情况下,仍有部分通信是被禁止的,必须手动添加策略;
2) Unix服务器的Xmanager服务访问客户端的TCP端口,从6000开始累加,至6063,checkpoint已经做了此类定义,X11
四 故障排除
1) 新增策略:允许10.4.2.1访问client的X11服务;
2) 新增策略:允许client访问10.4.2.1的xmanager(UDP117)服务。
3) 删除原有双向允许所有通信策略,紧缩策略范围。