今天碰到了一個奇異的問題,具體情形如下圖,中間一台NokiaIP防火牆,inside口下連接配接一台F5,F5的外網口為172.17.18.1,上面有一個vip為172.18.0.1。奇異情況如下:從10.1.1.1 ping 172.18.0.1是正常的,但是從F5上面ping 10.1.1.1的位址卻不通。
<a href="http://ipneter.blog.51cto.com/attachment/200809/11/341177_1221134704ZYMb.png"></a>
于是我在防火牆上面建立了一條相關的政策,并記錄日志。通過檢視相關日志,得到如下:
<a href="http://ipneter.blog.51cto.com/attachment/200809/11/341177_12211347043Bnt.png"></a>
于是馬上檢視inside的spoofing配置,原來問題竟然出在這裡了。
分析如下:
從F5上ping 10.1.1.1的源位址是172.17.18.1,這個位址在防火牆的inside口的spoofing配置裡面,是以能夠到達10.1.1.1。而從10.1.1.1 ping 172.18.0.1過來的資料是正常的(這就是為什麼我在F5上面能tcpdump到echo reply的包),但是回包到了防火牆後就被防火牆的inside口的spoofing丢棄了。
到這裡,突然想到了有一個牛人說的話:來回的路由不要單從裝置上來看,二要認真分析源和目标位址,真有道理啊。切記切記!!!
本文轉自 chris_lee 51CTO部落格,原文連結:http://blog.51cto.com/ipneter/98742,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)