我有一个奇怪的问题,我似乎无法弄清楚。 我将以这个确切的设置工作得很好,并由于某种原因已经停止正常工作这一事实,序言这个问题。
我有一个networking代理,以确保我的一个客户办事处的用户在上网之前过滤了他们的networkingstream量。 这个代理( Quinto Labs QLProxy )位于该networking的DMZ中。 另外在这个DMZ是一个Web服务器,承载几个小应用程序。
stream量的stream量如下(用于网页浏览)
USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Outside world 用户尝试访问DMZ中Web服务器上托pipe的网站时的stream量stream如下
USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Web Server (172.16.0.7)
最近,networking服务器已经开始拒绝所有网站上的所有网站的stream量。 浏览器上的错误信息是The system returned: (110) Connection timed out
工作的网站的设置看起来与不起作用的相同。 当浏览到Web服务器上的网站不起作用时,我看到SYN_SENT和一个指向Web服务器的netstat -ant 。 我也看到我的路由器上的SYN SENT从代理到Web服务器。 DNS解决了工作的网站和那些不工作的罚款。 我在代理服务器上的/etc/hosts文件中有条目,以确保它们的准确性。 我已经尝试使用私人IP地址和公共IP地址为这些条目,结果似乎相同。
在Web服务器上完全删除防火墙不会改变任何内容,连接仍然被拒绝。
有谁知道为什么这可能会发生,或者能够告诉我,我可能会弄清楚为什么会发生这种情况?
编辑:
你不描述你的NAT设备是什么,但对我来说,这听起来就像那个NAT设备不能做发夹式(或回送)NAT 。
令人困惑的是,这可能如何突然改变。 我可以想到一些可能性。 也许你最近改变了NAT设备的configuration。 您也可能使用水平分割DNS来返回网站的私有地址(而不是公共地址),并且这些logging最近被删除。 也许您的代理服务器使用内部DNS服务器瓦特/水平分割logging,最近已重新configuration为使用Internet DNS。
在networking服务器上运行一个嗅探器,并确认来自代理的SYN数据包不会传送到networking服务器,这往往会把责备归咎于你的NAT设备。