去年年初,我的客户的防火墙被 Sophos XG 型号取代后,我一直在处理 SVN 流量的连接重置问题。以前使用的是 Sonicwall。我向 Sophos 支持部门提交了多个案例,试图找出问题并解决,但无济于事。
当前设置:
- 美国办事处是总部,其 SVN 服务器运行 Fedora 15、Apache 2.2.22 和 SVN 1.6.18。
- 在另外 2 个国家/地区设有 3 个分支机构,总部和每个分支机构之间存在 IPSec VPN(星型拓扑)。未使用 NAT。
- SVN 客户端位于 Linux 和 Windows 上。
- Windows 文件共享、内部网站等的通信没有问题
- 当尝试运行诸如“svn up”之类的命令来使用存储库更新本地系统时,数据包捕获将显示 SVN 服务器和客户端之间的流量,但几秒钟后连接将被重置
- 在两个系统上运行的数据包捕获都显示从另一端发送了 RST。这意味着服务器将显示客户端正在发送 RST,而客户端将显示服务器正在发送 RST。
- VPN 的防火墙规则设置为允许总部和分支机构之间的所有流量,不进行任何过滤。
- 开发人员可以在分支机构的工作站和 SVN 服务器之间建立 SSH 隧道,并通过 SSH 隧道同步数据,但通过 VPN 在工作站和服务器之间使用直接通信会导致连接重置。
- 防火墙日志未显示流量被丢弃或拒绝。
- 一位 Sophos 支持代表在审查数据包捕获时认为问题可能与 MSS 号码有关,但在两个防火墙上调整该号码并没有什么区别。
我现在很茫然,想看看是否有人可以提供一些指点。
编辑:问题已确定,即使我们将服务器和客户端 IP 添加到例外列表,防火墙中的高级威胁防护仍导致连接重置。即使将策略设置为从“记录和丢弃”记录,也不能免除流量被阻止的义务。联系供应商进行进一步审查。日志未显示 ATP 阻止/断开流量。