우리는 마침내 일부 오래된 장비를 교체하고 있으며 그 작업의 일환으로 지난 몇 년 동안 이동했던 것보다 깊은 서랍 두 개를 더 뒤로 당겼습니다. 서랍 중 하나에는 방화벽이 있고 다른 서랍에는 방화벽에 연결된 스위치가 있으며,CAT-V 케이블 중 하나가 나도 모르게 한계까지 늘어났지만 방화벽은 계속 작동했습니다. "영향을 받지 않았습니다."
"문제"는 내부 네트워크가 더 이상 인터넷이라는 야생에 도달할 수 없다는 것입니다. 내부 네트워크의 모든 시스템은 괜찮아 보이지만 방화벽 시스템에 접근할 수 없습니다. 그러나 방화벽은 계속 실행되고 있으며 인트라넷의 시스템을 볼 수는 없지만 인터넷에 액세스할 수 있습니다.
기본적인 문제 해결 - 보기만 해도 케이블이 여전히 한계에 도달했음을 알 수 있습니다. 올바르게 라우팅할 수 있고 한 번 설치하면 한계에 도달하지 않는 더 긴 케이블을 구입했습니다.이제 내부 시스템은 모두 다시 방화벽을 보게 되고, 방화벽은 외부 세계와 내부 네트워크를 모두 보게 되지만, 케이블 외에는 아무것도 변경되지 않았음에도 불구하고 패킷을 올바르게 전달하지 못합니다.
내부 네트워크 연결을 외부로 전달하려면 NAT를 사용해야 합니다.그런 다음 내부 및 외부에 httpd 서비스를 제공하십시오. (인터넷에서 인바운드 이메일도 받아서 포트포워딩을 통해 특정 내부 시스템으로 전달하는 줄 알았는데 알고보니이메일 서버가 DNS를 통해 인바운드를 확인하고 이러한 조회가 올바르게 전달되지 않기 때문에 이메일이 제대로 작동하지 않습니다.) 시스템은 인바운드 및 아웃바운드 통화에 대해 잘 작동하지만 라우팅에 실패합니다(NAT 유무에 관계없이). ...물론, 다행히 월요일에 새 장비가 배송될 예정이라 방화벽은 다음 주 초에 교체될 것으로 예상됩니다.
이 방화벽은 Linux 3.14.27-100.fc19.x86_64이며 날짜는 2014년으로 거슬러 올라갑니다. 앞서 말했듯이 이 방화벽은 오래되었고 이 네트워킹 소프트웨어 버전은 실제로 제대로 작동한 적이 없지만 충분하므로 계속 사용할 수 있습니다. (동일한 시스템은 웹 서비스와 같은 다른 요구 사항도 충족합니다.)
핵심 작업 도구로 커널 기반 IP 테이블이 있고 여러 가지를 혼합하는 데 도움이 되는 버그가 있는 방화벽이 있다고 확신합니다. 이 문제를 망친 지 몇 년이 지났지만, 제대로 작동한 후 구성을 캡처할 수 있도록 "재부팅 시 저장" 기능을 사용하라고 제안한 사람이 기억나는 것 같습니다. 하지만 잘못하면 본의 아니게 규정이 바뀔 수도 있으니 조심하려고 합니다. 이를 제어하는 파일은 /etc/sysconfig/iptables-config이며 시스템이 처음 구성된 이후 편집되지 않았습니다. 해당 이웃 파일 "firewalld"에는 정의된 매개변수가 없으며 그 이후로 편집되지 않았습니다.
첫 번째 단계:
systemctl status firewalld.service
이는 시작되고 "ERROR: ZONE_CONFLICT"두 번 반복되었지만 이 오류 이전의 마지막 시스템 재부팅의 타임스탬프가 있음을 보여줍니다.
방화벽 구성은 /etc/firewalld/zones에 있습니다. 외부, 내부, 공개의 세 가지 정의가 있습니다. 파일은 변경되지 않았으며 내용도 합리적으로 보입니다.
시스템 부팅에 문제가 있었고 복구되지 않을 수 있으므로 다시 시작하기를 꺼렸다는 점을 언급할 가치가 있습니다! 이제는 적어도 웹페이지를 제공하고 있습니다. ...다음 주쯤 교체될 예정이지만, 가능하다면 이 모든 사이트(아마도 60개?)가 며칠 동안 다운되는 것을 원하지 않습니다.
systemctl을 사용하여 방화벽을 순환했지만 아무것도 변경되지 않았습니다. ... IP 테이블도 루프될 수 있나요? 커널의 일부로서 그렇게 생각하지는 않지만 아마도 그럴까요?
아이디어가 있나요?
고쳐 쓰다:어느 시점에서 나는 웹페이지가 실제로 제공되지 않는다는 것을 발견했고, 그 시점에서는 시스템이 완전히 다운된 것 같았습니다. 재부팅을 시도해 볼 가치가 있다고 생각합니다. 재부팅하는 동안 시스템이 두 번 멈췄지만 결국 부팅하게 되었고 재부팅하면 문제가 해결되었습니다. 이제 시스템은 NAT를 통해 패킷을 전달하고 이러한 웹 페이지를 제공합니다. (저는 지금 UPS가 새 하드웨어를 배송해주기를 애타게 기다리고 있습니다!)
그 의미는...재부팅하지 않고 수정해야 한다는 강한 느낌이 듭니다. 이에 대한 어떤 생각이라도 듣고 싶습니다.