我々はついにいくつかの古い機器を交換しており、その作業の一環として、過去数年間にわたって移動したものよりも深い引き出しを2つ引いた。引き出しの1つにファイアウォールがあり、もう一方の引き出しにファイアウォールに接続されたスイッチがあり、CAT-Vケーブルの1つが私にはわかりませんが、限界まで伸びましたが、ファイアウォールは機能し続けました。 「影響を受けませんでした」
「問題」は、内部ネットワークがもはやインターネットという野生に到達できないということです。内部ネットワーク内のすべてのシステムは問題ないようですが、ファイアウォールシステムにアクセスすることはできません。ただし、ファイアウォールは引き続き実行されており、イントラネットのシステムを見ることはできませんが、インターネットにアクセスできます。
基本的なトラブルシューティング - 表示するだけでケーブルがまだ制限に達していることがわかります。正しくルーティングでき、一度インストールすると、制限に達しない長いケーブルを購入しました。内部システムはすべてファイアウォールを再び見るようになり、ファイアウォールは外部世界と内部ネットワークの両方を見るようになりますが、ケーブル以外に何も変更されていないにもかかわらずパケットを正しく転送できません。
内部ネットワーク接続を外部に転送するには、NATを使用する必要があります。次に、内部と外部にhttpdサービスを提供します。 (インターネットから受信メールも受け取り、ポートフォワーディングを介して特定の内部システムに転送することがわかりました。電子メールサーバーがDNSを介して受信を確認し、これらのクエリが正しく配信されないため、電子メールが正しく機能しません。)システムはインバウンドおよびアウトバウンドコールに対してうまく機能しますが、ルーティングは失敗します(NATの有無にかかわらず)。 ...もちろん、幸い、月曜日に新しい機器が出荷される予定で、ファイアウォールは来週初めに交換される予定です。
このファイアウォールはLinux 3.14.27-100.fc19.x86_64で、日付は2014年にさかのぼります。前述したように、このファイアウォールは古く、このネットワーキングソフトウェアのバージョンは実際には正常に動作しませんでしたが、十分なので引き続き使用できます。 (同じシステムは、Webサービスなどの他の要件も満たしています。)
コアタスクツールには、カーネルベースのIPテーブルがあり、さまざまなものを混在させるのに役立つバグがあるファイアウォールがあると確信しています。この問題を台無しにして数年が経ちましたが、正常に動作した後に設定をキャプチャできるように、「再起動時に保存」機能を使用するように提案した人が覚えているようです。しかし、間違えれば本意ではなく規定が変わることもあるので注意しようとします。これを制御するファイルは/etc/sysconfig/iptables-configで、システムが最初に設定されてから編集されませんでした。対応するネイバーファイル「firewalld」には定義されたパラメータがなく、それ以降は編集されませんでした。
最初のステップ:
systemctl status firewalld.service
これは開始され、"ERROR: ZONE_CONFLICT"2回繰り返されたが、このエラーより前の最後のシステム再起動のタイムスタンプがあることを示しています。
ファイアウォール設定は/etc/firewalld/zonesにあります。外部、内部、開示の3つの定義があります。ファイルは変更されず、内容も合理的に見えます。
システムの起動に問題があり、回復できない可能性があるため、再起動が消極的であることに言及する価値があります。今は少なくともWebページを提供しています。 ...次の週ごろに交換される予定ですが、可能であれば、このサイト(おそらく60か?)が数日間ダウンしたくありません。
systemctlを使用してファイアウォールを循環しましたが、何も変更されませんでした。 ... IPテーブルもループできますか?カーネルの一部としてそうは思いませんが、おそらくそうでしょうか?
アイデアはありますか?
修正する:ある時点で、私は実際にWebページが提供されていないことを発見しました。再起動を試してみる価値があると思います。再起動中にシステムが2回停止しましたが、最終的に起動するようになり、再起動すると問題が解決しました。システムはNATを介してパケットを転送し、これらのWebページを提供します。 (私は今UPSが新しいハードウェアを出荷するのを待っています!)
その意味は…再起動せずに修正しなければならないという強い感じがします。これに対するどんな考えでも聞きたいです。