part 0 远程主机端口策略失效的场景分析
- 当前业务繁多的云服务器,一台主机对应多类服务这样的应用场景在许多中小型公司的业务场景中非常多见。本篇介绍的跟踪路由节点命令,是辅助以下几种服务器访问场景,做指定服务器安全端口策略。
- 搭建一个通用后端服务面向全体互联网用户
- 搭建一个内部测试后端服务,面向公司内网客户
- 服务器运营维护的ssh等诸如22/443超级权限访问通道
- 服务器的端口策略失效,内部访问渠道失效的几种可能出现的场景
- 提供以太网出口服务的运营商手动调整了你所在企业的网络出口地址(通常为了做安全策略许多后端开发者喜欢将企业固定出口地址添加到服务器端口策略的静态地址中)这时,会存在服务器内部策略的接口访问失败。
- 同一企业不同的host主机访问同一个目标地址,路由方式不同,具体表现为出口地址不同。(此时,之前端口策略下的静态地址策略就会限制未加入白名单的host访问)。
- 本地ssh证书丢失,配置失效(运维人员丢失了本地存储的静态ssh证书,导致本地无法连接远程主机)
part 1 本地网络环境因素排查
- 通常遇到本地无法访问云服务器对应端口服务的原因,首先应该排查本地网络环境的异常变化导致的问题(作为8线城市的8线程序员,此时如果,第一时间怀疑阿里云/华为云/腾讯云/萝卜云/白菜云/屎壳郎云/奶茶云... 是会在第一时间被上级怀疑的!!!)
- 本地网络是不是还是通的,ping 目标主机(windows/linux通用)
- 遇到喜欢做数据缓存的网络代理商(这里不点名了),自己要有相应预防策略,被缓存了什么内容??网络代理商的超级缓存bug怎么解除?(没有遇到过某***宽带的超级内网服务,所以不能做很详尽的解答)
- 本文重点介绍的本地出口网络被运营商手动调整了,具体表现在不同时间访问统一目标地址,本地出口网络地址变了?--->怎么办?怎么发现。为什么重点介绍?就这样被坑过而已。
part 2 查找网络请求到达服务器的路怎么走的tracert
windows 路由节点跟踪 tracert hostname
tracert 67.228.102.32
通过最多 30 个跃点跟踪到 www.google.com [67.228.102.32] 的路由:
1 <1 毫秒 <1 毫秒 <1 毫秒 120.236.--.--
2 7 ms 7 ms 5 ms 120.197.--.--
3 8 ms * 4 ms 183.233.--.--
4 15 ms 7 ms 10 ms 211.136.207.5
5 18 ms 15 ms 16 ms 221.183.14.141
6 14 ms 12 ms 22 ms 221.176.18.110
7 * * * 请求超时。
8 * * * 请求超时。
9 * * * 请求超时。
10 * * * 请求超时。
11 * * * 请求超时。
12 * * * 请求超时。
13 * * * 请求超时。
14 * * * 请求超时。
15 * * * 请求超时。
16 * * * 请求超时。
17 * * * 请求超时。
18 * * * 请求超时。
19 * * * 请求超时。
20 * * * 请求超时。
21 * * * 请求超时。
22 * * * 请求超时。
23 * * * 请求超时。
24 * * * 请求超时。
25 * * * 请求超时。
26 * * * 请求超时。
27 * * * 请求超时。
28 * * * 请求超时。
29 * * * 请求超时。
30 * * * 请求超时。
跟踪完成。
Linux 跟踪路由节点traceroute hostname
iMac:~t$ traceroute www.google.com
traceroute to www.google.com (199.16.158.190), 64 hops max, 52 byte packets
1 120.236.--.-- (120.236.--.--) 0.796 ms 0.739 ms 0.566 ms
2 120.197.--.-- (120.197.--.--) 3.958 ms 13.163 ms 10.758 ms
3 183.233.--.-- (183.233.--.--) 6.527 ms 10.759 ms
183.233.53.-- (183.233.53.--) 3.975 ms
4 211.136.207.5 (211.136.207.5) 7.341 ms
211.139.159.181 (211.139.159.181) 9.195 ms
211.139.159.189 (211.139.159.189) 5.349 ms
5 221.183.14.125 (221.183.14.125) 6.284 ms 3.802 ms
221.183.26.57 (221.183.26.57) 7.776 ms
6 221.176.22.158 (221.176.22.158) 7.606 ms 7.074 ms
221.176.24.6 (221.176.24.6) 7.830 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
part 10 重新添加新的出口地址到云服务器指定端口安全策略白名单
上文中windows平台和Linux平台两种追踪路由节点信息中,第一条节点地址(120.236.--.-- (120.236.--.--) 0.796 ms 0.739 ms 0.566 ms)信息就是你所在企业对应的运营商网络出口地址,将该地址添加到云服务器指定端口策略白名单,即刻变生效,这样你的自定义内网访问服务又活过来了,品质部门的兄弟下次就不会在你休假时打电话给你说全公司都在等你修复bug这种怕人的话了。
网友评论