关于防火墙的问题

侵略美国

公网----E8000E-------service问2个问题

1：大致拓扑如上，公网上的任意主机现在访问service的8081端口出现一会通一会不通的情况，service的ip地址是172.16.54.34，在E8000防火墙上已经放通了相关策略，并已经做好了地址映射（21.176.64.149--8081----172.16.54.34--8081），不通的的时候在E8000上查看会话是如下：

在防火墙上可以看到来回包都有了，但是TCP的状态是FIN，正常情况下TCP的状态应该是established，我不知道这个fin代表什么。然后在通的时候在防火墙上抓包如下：

可以看到正常情况下TCP的状态是established。
请各位大神帮忙分析下是什么原因导致的。

2：看到某大神的show命令感觉很好奇，麻烦帮忙解析下
show run | include (rule .+deny udp destination-port eq 53389)
我看了下大概意思应该是找出一条rule 这条rule必须满足如下条件
1：动作是deny
2：协议是udp，目标端口是53389
我感到困惑的是平时我们show都是直接show run | include 后面直接填我们需要查找的内容，像这种高级查找方式的话也没接触过，有没有什么具体的格式要求，具体应该怎么写呢

h19

感觉还是TCP连接的问题，高级查询的话，用管道符，比如show run | se mpls，可以查看一下管道符的关键字，比如section ，include，exclude，很多

h19

Fin标志是TCP连接断开

侵略美国

h19 发表于 2018-10-5 07:53
感觉还是TCP连接的问题，高级查询的话，用管道符，比如show run | se mpls，可以查看一下管道符的关键字， ...

我的问题主要是后面的那些参数有什么格式，比如show run |se mpls xxxxxx       mpls后面应该还可以加很多东西用于实现精确匹配吧，比如我上面说的show run | include (rule .+deny udp destination-port eq 53389)这个

侵略美国

h19 发表于 2018-10-5 07:55
Fin标志是TCP连接断开

那通过这个fin状态能判断出问题到底出在哪里吗，看会话应该是来回包都是有的

h19

侵略美国 发表于 2018-10-5 14:49
我的问题主要是后面的那些参数有什么格式，比如show run |se mpls xxxxxx       mpls后面应该还可以加很 ...

这种的话，那就要看你需要精确看什么配置了，有规律的，敲多了自然就记住了

szmabcd

1.   你可以看下防火墙有没有设置会话连接数。
      不通的时候不经过防火墙服务器本身有没有有问题
      不通的时候可以在服务器上抓包看下什么情况

2.  你说的show这个应该是正则表达式中的，挺复杂的

    如果不是正则表达式的话应该有他自己的一些规则，可以找下相应设备文档

kriangkaiza