源IP范围设定问题
 
在日常服务器维护中,常常需要配置操作系统自带的软件防火墙或独立的硬件防火墙。在这配置过程中常常需要限定源服务器的IP范围,我最近配置源IP范围时遇到了这样问题:我已经将访问该服务器的IP地址加入允许的范围内,但服务器还是不能访问允许的网络资源。
该问题产生的原因:
1.       源服务器上配有多个公网IP地址,你只配置其中一个。而服务器上internet时有可能走其它IP地址出去。
2.       虽然在防火墙策略上配置了访问源服务器的公网IP地址,但该服务器在internet的出口IP可能不是访问该服务器上业务的IP。出现这种现象的可能情况有:
A,                     多台WEB服务器通过负载均衡来进行流量分担,访问WEB服务器业务时的IP地址是服务器在负载均衡上的VIP,而WEB服务器上internet的出口IP可能是负载均衡虚拟IP或其它的IP
B,                      在源服务器的防火墙上做相关的端口映射,访问源服务器的业务时走的映射端口,而源服务器上internet是走的网络默认出口。
 
解决的方法:
由于源服务器上internet的出口IP地址与访问该服务器的业务的IP地址一般相差不远,因此可以通过扩大源IP地址的范围,
例:源服务器的公网IP61.144.56.100,扩充为61.144.56.0/255.255.255.128 61.144.56.0/255.255.255.0当然也可以将网段限制的小一些。