Назад | Перейти на главную страницу

Как я могу узнать, почему мой веб-сервер отказывается от трафика с моего веб-прокси?

У меня есть немного странная проблема, которую я не могу понять. Я предваряю этот вопрос тем фактом, что эта точная установка работала нормально и по какой-то причине перестала работать должным образом.

У меня есть веб-прокси, чтобы гарантировать, что пользователи в одном из офисов моих клиентов фильтруют веб-трафик перед выходом в Интернет. Этот прокси (Quinto Labs QLProxy) находится в DMZ этой сети. Также в этой DMZ находится веб-сервер, на котором размещено несколько небольших приложений.

Поток трафика следующий (для просмотра веб-страниц)

USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Outside world

Поток трафика, когда пользователь пытается получить доступ к веб-сайту, размещенному на веб-сервере в DMZ, выглядит следующим образом

USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Web Server (172.16.0.7)

В последнее время веб-сервер начал отказывать в трафике всем, кроме одного, веб-сайтам, размещенным на веб-сервере. Сообщение об ошибке в браузере: The system returned: (110) Connection timed out

Настройки для работающего веб-сайта кажутся идентичными тем, которые не работают. При просмотре веб-сайта на веб-сервере, который не работает, я вижу SYN_SENT с netstat -ant направлен на веб-сервер. Я также вижу SYN SENT на моем маршрутизаторе с прокси на веб-сервер. DNS разрешает нормально как для рабочего, так и для неработающего веб-сайта. У меня есть записи в /etc/hosts файл на прокси-сервере, чтобы гарантировать их точность. Я пробовал использовать частный IP-адрес и общедоступный IP-адрес для этих записей, и результаты кажутся одинаковыми.

Полное отключение брандмауэра на веб-сервере ничего не меняет, и соединение по-прежнему отклоняется.

Кто-нибудь знает, почему это может происходить, или может сказать мне, как я могу выяснить, почему это происходит?

РЕДАКТИРОВАТЬ :

Насколько мне известно, ничего не изменилось, чтобы вызвать эту проблему - я не могу придумать ничего, что изменилось, что могло бы ее вызвать.
Правила iptables пусты на прокси-машине
Если я подключаюсь к веб-серверу через прокси-сервер с использованием внутреннего IP-адреса, он работает, однако, если я подключаюсь через внешний IP-адрес (используя порт 80), это не так. Значит, это проблема NAT ??
Веб-сервер - Server 2012
Никаких изменений брандмауэра на прокси-машине или веб-сервере не производилось.

Вы не описываете, что такое ваше устройство NAT, но мне кажется, что это устройство NAT не способно делать шпилька (или loopback) NAT.

Непонятно, как это могло внезапно измениться. Я могу думать о нескольких возможностях. Возможно, вы недавно что-то изменили в конфигурации устройства NAT. Также возможно, что вы использовали DNS с разделением горизонта для возврата частных адресов веб-сайта (в отличие от публичного адреса), и эти записи были недавно удалены. Возможно, ваш прокси-сервер использовал внутренний DNS-сервер с записями с разделенным горизонтом и недавно был перенастроен для использования DNS в Интернете.

Запуск сниффера на веб-сервере и подтверждение того, что SYN-пакеты от прокси-сервера никогда не попадают на веб-сервер, скорее всего, возложит вину на ваше устройство NAT.