網頁重定向致使防火牆

某地政府部門A與部門B之間須要創建鏈接，部門A須要訪問部門B的某網站，在部門A與部門B之間使用防火牆進行隔離並使用目的NAT功能。wKioL1kuGCDxD_GjAAA_alf_oCM667.jpg-wh_50

如圖，防火牆左邊爲部門A，右邊爲部門B，防火牆因爲沒有規劃互聯地址，使用終端網段內一地址做爲接口地址，並用此地址做爲目的NAT使用。終端訪問151接口地址，通過NAT轉換後，轉爲訪問部門B服務器。

防火牆配置完成後，測試PING正常，遠程桌面正常，可是WEB訪問不通。檢查防火牆配置未發現問題，在 部門B網絡內訪問WEB服務正常。將終端的網關由254改成151後，WEB訪問正常，但顯示網頁的IP地址是B部門服務器的真實地址。

在終端上進行抓包，發現服務器返回的報文內，有重定向的信息，告訴終端訪問網頁的實際地址。wKiom1kuLkqCQyLmAACZSq8oZFM045.jpg-wh_50

結果終端再也不訪問防火牆接口地址，而是直接訪問真實地址。核心交換機上並無此條路由，因此不會通，而將網關指定在防火牆上則不須要路由了，能夠訪問。此問題沒法從網絡層面進行解決，只能交給WEB維護人員修改。並非全部網站都有此種狀況，具體何種網站會使用到此技術，本人並不十分了解。你們能夠試試，在網頁裏直接訪問www.baidu.com,實際彈出的倒是https的頁面。

上述問題，因爲防火牆的配置並無十分嚴格的作安全策略控制訪問，反而幫助了問題的排查定位，不然即便將網關設置爲防火牆的接口地址也是不會通的。在實際中，咱們仍是但願將防火牆的安全策略進行嚴格配置，只放行須要經過的流量，但爲了排錯須要，能夠臨時使用全放行的策略進行排查，在排查完成後必定要關閉此策略。

最後關於抓包，其實並非非要把TCP/IP這樣的理論書看的多深刻才能去看，只要勇於去看，多查查資料，都是能夠看出一些東西的。