最近(2010 年 7 月 13 日),我的防火墙规则开始阻止之前允许的流量。我有一个在非标准端口上运行的 FTP 服务器,为 LAN 提供文件。我已为服务器应用程序以及 XP 防火墙中的连接端口配置了例外。
原始配置:
Name: My FTP Server
Port Number: 1234
Scope: My network (subnet) only
截图http://www.freeimagehosting.net/uploads/49c1717c8e.jpg
此配置已运行了一年多。奇怪的是,它一直适用于 VLAN1(10.1.1.x,与服务器位于同一子网)上的客户端以及 VLAN2(10.1.2.x)上的客户端。然后两天前,它突然停止仅对 VLAN2 上的客户端运行。在排除了失败的连接故障后,我确定问题出在防火墙上,并重新配置了例外情况,如下所示:
更新的配置:
Name: My FTP Server
Port Number: 1234
Scope: Custom list: 10.1.0.0/255.255.0.0
替代文本http://www.freeimagehosting.net/uploads/a301aa85b9.jpg
其他一些背景细节:Windows Update 设置为自动安装更新,并于 7 月 12 日晚上收到了一次更新。
WindowsUpdate.log 摘录:
*************
** START ** Agent: Installing updates [CallerId = AutomaticUpdates]
*********
* Updates to install = 1
* Title = Definition Update for Windows Defender - KB915597 (Definition 1.85.1905.0)
* UpdateId = {1C89B156-DCC2-4A34-BAFC-7B5E5B20C460}.100
* Bundles 1 updates:
* {584242DE-8E71-4F88-A9C6-BB3C7F13773A}.100
此处的知识库文章未表明防火墙已更新(实际上,它只是 Windows Defender 的定义更新)。除了自动更新之外,几个月来服务器上没有安装任何新软件,并且自一年多前最初配置 FTP 服务器以来,防火墙规则没有更改。
为什么防火墙例外以前对整个 LAN 都有效,但两天前却突然开始阻止来自 VLAN2 上的客户端的连接?
编辑:其他详细信息:我有一台运行 Mac OS X Server 10.5 的 Xserve,设置为 DHCP 服务器。DHCP 配置为向此特定 XP 计算机分配静态 IP。自从一年多前首次设置 Windows 机器以来,此配置一直没有改变。
系统详细信息:Windows XP Pro 版本 2002 Service Pack 3
答案1
虽然我不能确定,但这就是我对它突然停止工作的原因的想法。
10.xxx 空间是 24 位 A 类子网。
其默认掩码为:255.0.0.0
当您输入 IP 时,Windows XP 会选择默认子网掩码。它可能为接口指定了 255.0.0.0 或 255.255.0.0,而不是 C 类 255.255.255.0。
这使得 10.0.0.0 - 10.255.255.255 成为本地子网的一部分。(包括 10.1.1.x 和 10.1.2.x)
如果您使用 DHCP,并且服务器开始提供默认掩码 255.255.255.0,则仅提供 10.1.1.x 中的 IP
如果您手动配置了接口并更改了 IP,则默认掩码可能会根据新 IP 而改变。
除此之外,这台机器是否属于 Windows 域的一部分?如果是,您的管理员可能已将新的防火墙配置文件作为系统策略的一部分推送。
答案2
这两个 VLAN 之间有什么东西吗?
您负责网络吗?我遇到过这样的问题:网络团队会对一个 VLAN 进行修改,然后开始对数据包进行状态检查,以确定网络之间的流量是否合法。这些临时修改让我受不了几次。如果您是整个基础设施的主要管理员,那么这种行为似乎非常奇怪。
此外,韦恩的一些建议也很有道理。