最近(2010年7月13日)我有一个防火墙规则,开始阻止之前被允许的stream量。 我有一个FTP服务器运行在一个非标准的端口提供文件到局域网。 我已经configuration了服务器应用程序的exception以及XP防火墙中的连接端口。
原configuration:
Name: My FTP Server Port Number: 1234 Scope: My network (subnet) only 截图http://www.freeimagehosting.net/uploads/49c1717c8e.jpg
这个configuration已经工作了一年多了。 奇怪的是,它已经在VLAN1(10.1.1.x,与服务器相同的子网)上的客户端以及VLAN2(10.1.2.x)上的客户端工作。 然后突然两天前,它只停留在VLAN2上的客户端工作。 对故障连接进行故障排除后,我确定问题在于防火墙,并重新configurationexception,如下所示:
更新configuration:
Name: My FTP Server Port Number: 1234 Scope: Custom list: 10.1.0.0/255.255.0.0
替代文字http://www.freeimagehosting.net/uploads/a301aa85b9.jpg
其他一些背景细节:Windows Update设置为自动安装更新,并在7月12日晚收到一个更新。
WindowsUpdate.log摘录:
************* ** START ** Agent: Installing updates [CallerId = AutomaticUpdates] ********* * Updates to install = 1 * Title = Definition Update for Windows Defender - KB915597 (Definition 1.85.1905.0) * UpdateId = {1C89B156-DCC2-4A34-BAFC-7B5E5B20C460}.100 * Bundles 1 updates: * {584242DE-8E71-4F88-A9C6-BB3C7F13773A}.100
这里的知识库文章并没有指出防火墙正在更新(事实上,这只是Windows Defender的定义更新)。 除自动更新之外,服务器上几个月没有安装任何新软件,并且自从FTP服务器最初configuration一年以上以来,防火墙规则并未更改。
为什么防火墙例外在整个局域网中都可以使用,但是前两天突然开始阻止来自VLAN2上客户端的连接?
编辑:其他细节:我有一个Xserve运行Mac OS X服务器10.5设置为DHCP服务器。 DHCP被configuration为为这台特定的XP机器分配一个静态IP。 这个configuration自从一年前的windows box最初build立以来并没有改变。
系统详细信息:Windows XP专业版2002 Service Pack 3
虽然我不能确定,但这是我为什么突然停止工作的想法。
10.xxx空间是24位A类子网。
默认掩码为:255.0.0.0
inputIP时,Windows XP将select默认的子网掩码。 它可能已经给出了接口255.0.0.0或255.255.0.0,而不是C类255.255.255.0。
这使得本地子网的10.0.0.0 – 10.255.255.255部分。 (包括10.1.1.x和10.1.2.x)
如果您使用DHCP,并且服务器开始在10.1.1.x中发出默认掩码255.255.255.0(仅限IP)
如果您手动configuration了接口并更改了IP,则根据新IP,默认掩码可能已更改。
除此之外,这台机器是Windows域的一部分吗? 如果是这样,您的pipe理员可能已经将一个新的防火墙configuration文件作为系统策略的一部分。
这两个VLAN之间有什么东西吗?
你负责networking吗? 我曾经遇到过这样的问题:networking团队将在一个VLAN上进行修改,并开始对数据包进行状态检查,以确定networking之间的stream量是否合法。 我几次被这些特别修改所烧毁。 如果您是整个基础架构的主要pipe理员,看起来非常奇怪的行为。
此外,韦恩的一些build议也是有意义的。