Недавно (13 июля 2010 г.) у меня было правило брандмауэра, которое начало блокировать разрешенный ранее трафик. У меня есть FTP-сервер, работающий на нестандартном порту, обслуживающий файлы в локальной сети. Я настроил исключения для серверного приложения, а также для порта подключения в брандмауэре XP.
Исходная конфигурация:
Name: My FTP Server
Port Number: 1234
Scope: My network (subnet) only
Скриншот http://www.freeimagehosting.net/uploads/49c1717c8e.jpg
Эта конфигурация проработала больше года. И, как ни странно, он работал для клиентов в VLAN1 (10.1.1.x, та же подсеть, что и сервер), а также для клиентов в VLAN2 (10.1.2.x). И вдруг два дня назад он перестал работать только для клиентов VLAN2. После устранения неполадок при неудачных соединениях я определил, что проблема была в брандмауэре, и перенастроил исключение следующим образом:
Обновленная конфигурация:
Name: My FTP Server
Port Number: 1234
Scope: Custom list: 10.1.0.0/255.255.0.0
альтернативный текст http://www.freeimagehosting.net/uploads/a301aa85b9.jpg
Некоторые другие общие сведения: Центр обновления Windows настроен на автоматическую установку обновлений и получил одно обновление вечером 12 июля.
Отрывок из журнала WindowsUpdate.log:
*************
** START ** Agent: Installing updates [CallerId = AutomaticUpdates]
*********
* Updates to install = 1
* Title = Definition Update for Windows Defender - KB915597 (Definition 1.85.1905.0)
* UpdateId = {1C89B156-DCC2-4A34-BAFC-7B5E5B20C460}.100
* Bundles 1 updates:
* {584242DE-8E71-4F88-A9C6-BB3C7F13773A}.100
В статье KB здесь не указано, что брандмауэр обновляется (действительно, это всего лишь обновление определений для Защитника Windows). Помимо автоматических обновлений, на сервере в течение нескольких месяцев не устанавливалось новое программное обеспечение, а правила брандмауэра не менялись с момента первоначальной настройки FTP-сервера более года назад.
Почему раньше исключения брандмауэра работали для всей LAN, а затем два дня назад внезапно начали блокировать соединения от клиентов в VLAN2?
РЕДАКТИРОВАТЬ: Дополнительные сведения: у меня есть Xserve под управлением Mac OS X Server 10.5, настроенный как DHCP-сервер. DHCP настроен для назначения статического IP-адреса этой конкретной машине XP. Эта конфигурация не изменилась с момента первоначальной установки окна Windows более года назад.
Сведения о системе: Windows XP Pro версии 2002 с пакетом обновления 3
Хотя я не могу быть уверен, это мои мысли о том, почему он внезапно перестал работать.
Пространство 10.x.x.x - это 24-битная подсеть класса A.
Маска по умолчанию для этого будет: 255.0.0.0
Windows XP выбирает маску подсети по умолчанию при вводе IP-адреса. Возможно, он дал интерфейс 255.0.0.0 или 255.255.0.0 вместо класса C 255.255.255.0.
Это делает 10.0.0.0 - 10.255.255.255 частью локальной подсети. (10.1.1.x и 10.1.2.x включительно)
Если вы используете DHCP и сервер начал выдавать маску по умолчанию 255.255.255.0, только IP-адреса в 10.1.1.x
Если вы вручную настроили интерфейс и изменили IP, маска по умолчанию могла измениться в зависимости от нового IP.
Является ли этот компьютер частью домена Windows? Если это так, возможно, ваш администратор отключил новый профиль брандмауэра как часть системной политики.
Есть что-то между этими двумя VLANS?
Вы отвечаете за сеть? У меня были проблемы, из-за которых сетевая группа могла вносить изменения в одну VLAN и начинать проверку пакетов с отслеживанием состояния, чтобы определить, является ли трафик между сетями законным. Меня несколько раз сжигали эти специальные модификации. Если вы являетесь основным администратором всей инфраструктуры, это выглядит крайне странным поведением.
Кроме того, некоторые предложения Уэйна также имеют смысл.