Juniper SRX会自动丢弃从所有IP的2000端口发出的数据吗？

xiehouqiyuan

拓朴

如题。

最近遇到一个奇怪的问题，在SRX上为A服务器做了一下D-NAT，策略：trust to untrust permit any any ; untrust to trust permit any ping ;

服务器A需要通过公网访问服务器B的2000端口取数据，对方已经在防火墙上开放服务器B的所有限制。

从A能Ping通B的公网地址，也能telnet通B的2000端口。但是在服务器A上抓包发现只有服务器A与服务器B 共有三次TCP数据包交互：SYN , SYN ACK ; SYN .

有用户C通过ADSL拔号，直接访问服务器B的2000端口：
用户C也能ping和telnet到服务器B，而且能获取到服务器B上的数据。用户C抓包后发现用户C与服务器B有多次TCP数据交互：SYN , SYN ACK , PUSH ACK等等。

不知Juniper SRX会自动丢弃从所有IP的2000端口发出的数据吗？

具体网络拓朴请参考附件！


该贴已经同步到 xiehouqiyuan的微博

aran514

微博评论

我看你策略全放了，然后可以试着把sequenc-check关了试试看

来自 天星916 的新浪微博

xiehouqiyuan

在微博上已经与Juniper那边沟通上了，但是现在存在疑问的地方是：工程师提示需要开启SCCP，但是又有KB提示应该关闭SCCP。迷茫了！

微博评论

我想说明一下：1、TCP2000端口我并不是用来传语音数据；2、在我的SRX上已经查到SCCP的状态是enable；3、根据KB链接的解答，我应该关闭SCCP ALG才行，但是@jingjing_ @James的魔法天空 都提示应该开启SCCP，现在有点迷茫不知该怎么操作？？[疑问] @JUNOSSRX

来自 David_WeiLee 的新浪微博

微博评论

[得意地笑]不是说直接连线都不可以么

来自 刘小源源 的新浪微博

微博评论

回复@刘小源源:已经落实周六周日及某个时间后都是不传数据的。

来自 David_WeiLee 的新浪微博

微博评论

请先confirm一下我的理解： 你给A做了DNAT，也就是说把其它目的端口的traffic NAT 成了 目的是 2000的端口。但是实际的traffic 并不是 SCCP. 对吗？

来自 jingjing_ 的新浪微博

微博评论

回复@jingjing_

来自 David_WeiLee 的新浪微博

微博评论

回复@jingjing_:我在A上做了DNAT的，且只放了Ping做测试；B上放开2000端口供A和C接受数据。

来自 David_WeiLee 的新浪微博

微博评论

回复@David_WeiLee:你把policy 放开，然后把sccp alg disable掉。

来自 jingjing_ 的新浪微博

微博评论

回复@jingjing_:policy 放开是指trust to untrust permit any any ？

来自 David_WeiLee 的新浪微博

微博评论

回复@David_WeiLee: 对，any any permit.

来自 jingjing_ 的新浪微博

xiehouqiyuan

在SRX上输入set security alg sccp disable后，服务器A就能取到服务器B通过2000端口传出的数所了。


谢谢大家！！