我们托管一个名为 Simple Help 的远程访问工具。它允许我们访问客户的计算机并帮助他们解决问题。我可以从我的远程工作站登录它,并通过我们的服务器连接到客户的工作站。然后,在成功建立 UDP 连接后,Simple Help 将尝试“升级”连接并移除服务器,让您拥有直接的工作站到工作站 UDP 连接。这在许多网络上都可以正常工作。但是,我们的一个客户有一个 Sonicwall 防火墙,它似乎阻止了最后一步,即“升级”。似乎当 Simple Help 尝试升级连接时,Sonicwall Intrustion Prevention 会启动并停止它。我试过禁用 IPS 服务,但无济于事。我试过同时禁用“安全服务”菜单下的 Gateway AV、IPS 和 AntiSpyware 服务,但仍然没有成功。我试过从 LAN 和 WAN 区域中删除所有这些服务。我还尝试为不同的 IP 添加 IPS 例外,但没有成功。它总是记录 IPS 检测到可能或可能的端口扫描。
以下是 SW Log 的屏幕截图链接: https://skydrive.live.com/redir?resid=D7404A61BC894BC2!225
有什么办法可以让 Sonicwall 不去管这些流量吗?
另外,一位 SimpleHelp 技术人员建议,也许 SonicWall 只是在警告 IPS 事件,而实际上并没有通过 IPS 阻止它。他说查看一个名为“启用一致的 NAT”的选项可能会有所帮助 - 有什么想法吗?
答案1
我想我发帖有点早,但也许这会对其他人有所帮助。我问题中提到的“启用一致 NAT”选项似乎有效。欢迎对此选项的具体功能进行任何解释。但我的主要问题似乎已经解决了。
答案2
听起来好像是连接持续了足够长的时间,以至于 SonicWall 可以切换 NAT 端口并有效地终止您的旧会话。建立连接后,它会进入端口 XXXX,但如果在一段时间后没有足够的流量(保持活动),则该端口上的连接将重新协商到端口 YYYY。SonicWall 这样做是为了继续路由流量……但您的应用程序不会,所以它会死机。一致的 NAT 通过保持连接打开并且不移动端口来解决此问题。
如果您尝试在防火墙外的托管 PBX 中使用 SIP 电话,这将是一个大问题。