Azure NSG не разрешает трафик
У меня странная проблема. У меня есть сервер Windows в Azure, на котором я установил Splunk, и я не могу получить доступ к веб-интерфейсу.
Я создал его из шаблона по умолчанию, удалил и попытался воссоздать. Я создал правило NSG, разрешающее порт 8000 с моего рабочего общедоступного IP-адреса. Я разрешил порт 8000 через брандмауэр Windows. Я могу получить доступ к веб-интерфейсу splunk локально на виртуальной машине. Он прослушивает 0.0.0.0:8000 и другие порты splunk по умолчанию, проверенные с помощью netstat -ano.
Вещи, которые я пробовал:
- Разрешить весь трафик с моего рабочего IP на виртуальную машину.
- Привяжите splunk-сервер только к адресу 10.0.0.4.
- Отключите службу splunkd и запустите сайт IIS на порту 8000. IIS работает на порту 80, но не на порту 8000.
- К подсети применена группа безопасности сети.
- Проверил порт с помощью telnet и тест-соединения, на которое нет ответа.
- Убрано ограничение IP-адресов для входящих правил NSG.
PS C:\Users\sreadmin> netstat -ant | findstr 80
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:8000 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:8089 0.0.0.0:0 LISTENING InHost
TCP 10.0.0.4:49719 168.63.129.16:80 ESTABLISHED InHost
TCP 10.0.0.4:49722 168.63.129.16:80 ESTABLISHED InHost
TCP 10.0.0.4:50179 168.63.129.16:80 TIME_WAIT InHost
TCP 127.0.0.1:8065 0.0.0.0:0 LISTENING InHost
TCP [::]:8000 [::]:0 LISTENING InHost
UDP [fe80::d481:9b75:f30d:9b31%5]:1900 *:*
UDP [fe80::d481:9b75:f30d:9b31%5]:61131 *:*
Правила NSG, которые я сделал, выглядят так:
100 | Port_8000 | 8000 | Any | 131.203.112.66/32 | Any | Allow | …
110 | Port_8089 | 8089 | Any | 131.203.112.66/32 | Any | Allow | …
150 | http | 80 | Any | 131.203.112.66/32 | Any | Allow | …
1000 | default-allow-rdp | 3389 | TCP | 131.203.112.66/32 | Any | Allow | …
Есть ли у кого-нибудь представление о том, чего мне здесь не хватает, на что я должен обратить внимание, чтобы устранить неполадки или как проверить, в чем проблема?
Остерегайтесь правил по умолчанию в брандмауэре.
Я знаю, что этой проблеме больше года, но у меня была аналогичная проблема при попытке открыть порт 443 на виртуальной машине Windows / 10, работающей в Azure. Я открыл порт для виртуальной машины в виртуальной сети с помощью портала Azure, и, похоже, было правило по умолчанию для порта открытия 443 брандмауэра Windows, но что-то все еще блокировало мое соединение.
Я наконец решил проблему, создав дополнительное правило в открывающем порту брандмауэра Windows 443, и все заработало.
Спасибо за помощь, Джейсон. Я выполнил шаги, которые вы перечислили ранее, но я, должно быть, напортачил, когда настраивал Splunk на попытку запуска на 80-м порту, чтобы проверить, не блокируется ли исходящий порт 8000. Ваш шаг 4 был проблемой.
Ответ: Межсетевой экран корпорации должен иметь правила для исходящего трафика, ограничивающие доступ к нестандартным портам. Раньше я не слышал об этом из-за неправильной настройки splunk для работы на 80-м порту. Если Splunk правильно настроен для работы на порту 80, теперь все работает нормально.
После установки splunk на виртуальной машине Windows Azure нам просто нужно добавить порт 8000 во входящие правила Azure NSG и добавить порт 8000 во входящие правила брандмауэра Windows, после чего мы сможем просматривать его через Интернет.
Правила для входящих подключений Azure NSG:
Входящие правила брандмауэра Windows для виртуальной машины Azure:
Затем мы можем просмотреть его через Интернет:
Чтобы устранить эту проблему, возможно, мы можем выполнить следующие действия:
1. Выключите брандмауэр Windows ВМ (для тестирования, после завершения, включите)
2. Удалите NSG подсети.
3.Убедитесь, что ваш публичный IP-адрес 131.203.112.66
4. Убедитесь, что брандмауэр локальной сети не блокирует сетевой трафик. Или смените другую сеть, чтобы проверить это.
Также вы можете создать другую виртуальную машину Azure, чтобы протестировать ее. Просмотрите splunk с общедоступным IP-адресом и портом 8000.