Juniper SRX会自动丢弃从所有IP的2000端口发出的数据吗？-网络安全

xiehouqiyuan 发表于 2013-7-30 17:06:10

Juniper SRX会自动丢弃从所有IP的2000端口发出的数据吗？

如题。

最近遇到一个奇怪的问题，在SRX上为A服务器做了一下D-NAT，策略：trust to untrust permit any any ; untrust to trust permit any ping ;

服务器A需要通过公网访问服务器B的2000端口取数据，对方已经在防火墙上开放服务器B的所有限制。

从A能Ping通B的公网地址，也能telnet通B的2000端口。但是在服务器A上抓包发现只有服务器A与服务器B 共有三次TCP数据包交互：SYN , SYN ACK ; SYN .

有用户C通过ADSL拔号，直接访问服务器B的2000端口：
用户C也能ping和telnet到服务器B，而且能获取到服务器B上的数据。用户C抓包后发现用户C与服务器B有多次TCP数据交互：SYN , SYN ACK , PUSH ACK等等。

不知Juniper SRX会自动丢弃从所有IP的2000端口发出的数据吗？

具体网络拓朴请参考附件！

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 该贴已经同步到 xiehouqiyuan的微博

aran514 发表于 2013-7-30 17:29:50

{:6_267:}

微博评论 发表于 2013-7-30 20:03:36

我看你策略全放了，然后可以试着把sequenc-check关了试试看

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 来自天星916 的新浪微博

xiehouqiyuan 发表于 2013-7-31 09:29:01

在微博上已经与Juniper那边沟通上了，但是现在存在疑问的地方是：工程师提示需要开启SCCP，但是又有KB提示应该关闭SCCP。迷茫了！{:6_278:}{:6_278:}{:6_278:}{:6_278:}{:6_278:}{:6_278:}

微博评论 发表于 2013-7-31 09:36:12

我想说明一下：1、TCP2000端口我并不是用来传语音数据；2、在我的SRX上已经查到SCCP的状态是enable；3、根据KB链接的解答，我应该关闭SCCP ALG才行，但是@jingjing_ @James的魔法天空都提示应该开启SCCP，现在有点迷茫不知该怎么操作？？[疑问] @JUNOSSRX

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 来自 David_WeiLee 的新浪微博

微博评论 发表于 2013-7-31 09:36:12

[得意地笑]不是说直接连线都不可以么

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 来自刘小源源的新浪微博

微博评论 发表于 2013-7-31 09:36:12

回复@刘小源源:已经落实周六周日及某个时间后都是不传数据的。

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 来自 David_WeiLee 的新浪微博

微博评论 发表于 2013-7-31 11:51:26

请先confirm一下我的理解：你给A做了DNAT，也就是说把其它目的端口的traffic NAT 成了目的是 2000的端口。但是实际的traffic 并不是 SCCP. 对吗？

http://bbs.hh010.com/xwb/images/bgimg/icon_logo.png 来自 jingjing_ 的新浪微博