萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 防火牆暗中阻止,引發網絡訪問失敗

防火牆暗中阻止,引發網絡訪問失敗

歡迎進入網絡技術社區論壇,與200萬技術人員互動交流 >>進入 .

  無法訪問網絡的故障經常會出現,造成這種故障的原因也是多種多樣;按照普通思路對網絡故障進行依次排查,也能很快地將故障現象解決掉。可是,筆者曾經遭遇到一則非常奇怪的網絡不通故障,這種故障現象竟然是由於地址沖突後,防火牆暗中阻止引起的,考慮到這則故障的特殊性,現在本文就將它的排查過程貢獻出來,希望大家能從中受到啟發! .

  故障現象

.

  筆者所在單位的局域網網絡規模不是很大,只有二十台左右的普通計算機,所有計算機都通過100M網絡線纜連接到局域網的交換機上,交換機又與一台TP-LINK品牌的寬帶路由器直接相連,最後通過租用本地電信的10M光纖寬帶線路,連接到省網絡中心,同時能通過省中心網絡訪問Internet網絡。局域網中有一台性能不錯的文件服務器,平時單位中的各類通知信息以及其他政務信息全部發布在該服務器上,單位員工可以直接在自己的計算機上通過Web方式輕易地訪問到上面的內容;為了保證服務器訪問的安全,筆者特意在文件服務器上安裝了費爾防火牆,並將該防火牆的工作模式設置成服務器模式。

.

  可是,最近有一位員工向筆者電話反映,說他的計算機不能訪問單位的文件服務器;由於,其他員工沒有同時反映故障情況,筆者下意識認為這個問題很可能是員工自己計算機存在問題,特別有可能是他的網絡連接線纜沒有接觸牢靠,於是建議那位故障報修員工重新插拔一下網絡線纜,實在不行的話可以嘗試重新啟動一下計算機系統。然而,沒有多長時間,那位員工再次來電回復說,按照筆者的建議進行操作後,還是不能讓自己的計算機正常訪問單位的文件服務器。 .

  故障追查 .

  考慮到其他員工都反映文件服務器訪問一切正常,筆者想也沒想,立即趕到網絡故障現場;經過重插網絡線纜以及重新啟動計算機系統等一系列常規操作後,筆者發現網絡故障果然沒有被解決,難道是物理連接出現了意外?為了判斷連接故障計算機的網絡線纜連通性是否正常,筆者在故障計算機系統中依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中,執行ping命令來測試一下目標文件服務器的IP地址,結果發現目標地址果然不能被正常ping通,難道故障計算機與文件服務器之間的網絡連接真的不通?筆者擔心物理線纜自身可能存在短路或斷裂現象,為此特意找來了專業的線纜測試儀,來對這根網絡線纜進行連通性測試,結果發現這根網絡線纜的連通性是正常的,那為什麼故障計算機不能正常ping通文件服務器呢?後來,筆者隨意ping了一下局域網中的其他計算機上網地址,得到的結果讓筆者很是吃驚,可以正常ping通其他計算機的上網地址,而且也能通過網上鄰居窗口訪問其他計算機中的共享資源,這說明員工計算機不存在問題。 .

  既然從員工的計算機系統中找不到明顯的錯誤,筆者只好嘗試著將目光轉移到文件服務器系統中;趕到文件服務器現場,筆者先是重新啟動一下文件服務器系統;待系統重新啟動成功後,筆者意外發現系統桌面上竟然出現了一個錯誤提示,說有計算機的IP地址與文件服務器的IP地址存在沖突現象,難道是地址沖突造成了故障計算機不能正常訪問文件服務器的內容?為了判斷自己的分析是否正確,筆者立即到故障計算機現場,依次單擊“開始”/“設置”/“網絡連接”命令,在彈出的網絡連接列表窗口中,用鼠標右鍵單擊目標本地連接圖標,從彈出的快捷菜單中執行“屬性”命令,打開目標本地連接的屬性設置對話框,選中其中的TCP/IP協議選項,單擊“屬性”按鈕後,進入TCP/IP協議的屬性設置對話框,在這裡筆者果然發現故障計算機使用的上網地址與文件服務器的上網地址是相同的,看來故障計算機網絡不通問題的確是由於地址沖突因素引起的。 .

  原以為只要為故障計算機更換一個IP地址,就能解決故障計算機網絡不通的問題了,可是當筆者嘗試著為故障計算機分配一個新的上網地址後,發現網絡不通現象仍然存在,這是怎麼回事呢?難道引起服務器訪問失敗故障另有“禍首”?在排除地址沖突因素後,筆者認為現在應該能夠正常ping通文件服務器的IP地址了,於是再次打開故障計算機的系統運行對話框,在其中執行ping命令測試文件服務器的上網地址能否被順利ping通,結果還是讓筆者非常失望,文件服務器的上網地址仍然無法被正常ping通;可是,當筆者嘗試著在文件服務器系統中,使用ping命令測試故障計算機的上網地址時,發現這種測試操作居然能夠成功,為什麼會存在單向ping通的故障現象呢?思來想去,筆者認為很可能是故障計算機的網卡設備存在記憶效應?為了消除網卡記憶效應,筆者立即打開故障計算機系統的設備管理器窗口,從中找到網卡設備選項,並用鼠標右鍵單擊該選項,從彈出的快捷菜單中執行“卸載”命令,將目標網卡設備徹底地從對應系統中刪除出去;之後,重新啟動一下故障計算機系統,讓其自動安裝、識別網卡設備的驅動程序,待網卡設備驅動程序安裝完成後,筆者又為網卡設備手工分配了一個地址,再次進行上網測試時,發現故障計算機還是無法訪問到單位文件服務器中的內容。 .

  聯想到寬帶路由器中設置了安全訪問控制規則,會不會是這其中的安全規則限制了目標計算機正常訪問文件服務器呢?為了檢驗自己的猜測是否正確,筆者立即以系統管理員身份登錄進入寬帶路由器後台系統,在其中找到安全訪問控制規則列表,發現其中並沒有針對故障計算機的訪問控制規則;為了排除安全控制規則因素的干擾,筆者索性將規則列表中的所有安全控制規則暫時全部清除掉,之後又把把靜態的地址分配與MAC地址都清空,最後又把寬帶路由器重新啟動了一下,可是這麼大的動作仍然沒有換來應有的回報。 .

  故障解決 .

  在萬般無奈之下,筆者開始將問題的“責任”推卸給網絡病毒,因為很多時候網絡病毒總會產生一些意想不到的效果;為了排除網絡病毒的嫌疑,筆者打算對故障計算機系統進行全面、徹底地病毒查殺操作。在准備查殺網絡病毒的時候,筆者偶然看到該系統中也安裝有網絡防火牆,會不會是網絡防火牆在阻止該計算機進行網絡連接?於是,筆者小心翼翼地將故障計算機系統中的防火牆程序暫時關閉掉,並重新進行網絡訪問測試,結果發現故障計算機的網絡還是不通;後來,筆者又想到了文件服務器系統中也安裝有網絡防火牆,為了擔心這個防火牆在暗中“搗亂”,筆者再次登錄進入文件服務器系統,將正在啟用的網絡防火牆也給關閉掉了,之後筆者重新在故障計算機系統中訪問文件服務器系統中的內容時,發現網絡連接已經恢復正常了,看來問題的確是由於文件服務器系統中的網絡防火牆引起的。 .

  故障總結 .

  上面的問題雖然已經被成功解決了,但是筆者還有一件事情一直沒有弄清楚,那就是文件服務器中的網絡防火牆程序為什麼會暗中阻止故障計算機的網絡訪問行為,而對局域網中的其他計算機網絡行為不予以阻止呢?後來,經過仔細查看網絡防火牆的日志記錄,筆者終於弄清楚了這則奇怪故障的產生原因,原來單位員工由於操作失誤導致自己的計算機系統發生崩潰,不得已他只好重新安裝了一遍操作系統,之後自己隨手設置了一個IP地址,恰好這個上網地址與單位文件服務器的地址相沖突,這個沖突行為被文件服務器中的網絡防火牆發現後,錯誤認為目標計算機系統在嘗試攻擊文件服務器,於是防火牆擅自作主強行斷開了那個故障計算機的網絡連接,於是就出現了故障計算機無論如何也不能訪問文件服務器的奇怪現象。 .

  小提示:為了避免局域網中頻繁發生地址沖突現象,我們可以嘗試使用下面的方法,來阻止普通用戶隨意修改計算機的上網參數: .

  1、隱藏本地連接圖標 .

  依次單擊“開始”/“運行”命令,執行“gpedit.msc”命令,逐一展開“用戶配置”/“管理模板”/“網絡”/“網絡及撥號連接”,雙擊“可以訪問lan連接組件的屬性”,選中“禁用”選項,再單擊“確定”按鈕。也可以在系統運行框中,依次執行字符串命令“regsvr32 Netcfgx.dll/u”、“regsvr32 Netman.dll/u”、“regsvr32 Netshell.dll/u”,最後重新啟動計算機系統。還可以對地址進行綁定操作,在使用該方法時,先獲取計算機網卡的物理地址;如果局域網中只有少數幾台計算機的IP地址需要綁定時,只要通過“ipconfig /all”命令,來獲得目標網卡設備的MAC地址,要是想快速獲取若干台計算機的網卡MAC地址時,可以考慮使用類似“MAC地址掃描器”這樣的專業查找工具,來批量得到整個網絡中的所有計算機網卡物理地址。一旦得到目標網卡設備的物理地址後,再依次單擊“開始”/“運行”命令,在系統運行框中執行字符串命令“cmd”,將系統屏幕轉到Ms-dos工作窗口,然後在命令行提示符下執行類似“arp -s ip mac”這樣的字符串命令,就能將目標IP地址限制在指定網卡設備上使用了。 .

  2、自動分配地址 .

  使用手工方法為計算機系統逐一分配IP地址,不但費時費力,而且還很容易發生IP地址沖突現象,明顯不利於局域網網絡的管理與維護。為此,在條件許可的情況下,可以考慮在局域網中架設一台DHCP服務器,讓DHCP服務器自動為局域網中的所有計算機分配動態IP地址,這樣不但解放了網絡管理員自己,而且也解決了IP地址頻繁沖突的故障現象。當然,對於局域網中的一些重要主機,例如服務器、路由器等,我們可以在DHCP服務器中設置好保留IP地址,以便讓重要主機仍然能夠正常使用靜態IP地址為局域網網絡

copyright © 萬盛學電腦網 all rights reserved