源IP范围设定问题

源IP范围设定问题

 

在日常服务器维护中，常常需要配置操作系统自带的软件防火墙或独立的硬件防火墙。在这配置过程中常常需要限定源服务器的 IP 范围，我最近配置源 IP 范围时遇到了这样问题：我已经将访问该服务器的 IP 地址加入允许的范围内，但服务器还是不能访问允许的网络资源。

该问题产生的原因：

1.       源服务器上配有多个公网 IP 地址，你只配置其中一个。而服务器上 internet 时有可能走其它 IP 地址出去。

2.       虽然在防火墙策略上配置了访问源服务器的公网 IP 地址，但该服务器在 internet 的出口 IP 可能不是访问该服务器上业务的 IP 。出现这种现象的可能情况有：

A，                     多台 WEB 服务器通过负载均衡来进行流量分担，访问 WEB 服务器业务时的 IP 地址是服务器在负载均衡上的 VIP ，而 WEB 服务器上 internet 的出口 IP 可能是负载均衡虚拟 IP 或其它的 IP ；

B，                      在源服务器的防火墙上做相关的端口映射，访问源服务器的业务时走的映射端口，而源服务器上 internet 是走的网络默认出口。

 

解决的方法：

由于源服务器上 internet 的出口 IP 地址与访问该服务器的业务的 IP 地址一般相差不远，因此可以通过扩大源 IP 地址的范围，

例：源服务器的公网 IP 为 61.144.56.100 ，扩充为 61.144.56.0/255.255.255.128 或 61.144.56.0/255.255.255.0 当然也可以将网段限制的小一些。