好长时间没来更新自己的blog了,一来始时间伤周转有困难,二来始还在做测试,前些日子因为内网的机器不能上网的问题搞了好长一段时间,和安全厂商也交流了好长一段时间,然后决定自己去亲测防火墙,看原因始出在我们段,还是防火墙或者交换机身上,因为这样的话我们以后的机器都有问题,虽然说是提供服务不需要解析,但是要用的时候却不能用也却是狠不爽,这样我们的问题就都不断了.

    星期六的早上8点,我带上了法兰盘去机房,目的是把防火墙架空,然后让数据直接经过交换机到服务器,这样就狠容易判定到底是防火墙的问题还是这个段的问题.很快完我就把防火墙架空了,然后登陆到自己的一台测试服务器上面,执行ping和nslookup命令依然返回time out的提示,我不甘心,我接了台笔记本到交换机上面,执行同样的命令却可以正常返回ip,奇怪,我感觉狠郁闷,这机器难道以前接过我们段,没办法,原因不在防火墙了,但是原因到底出在哪里呢?

    回去和老大沟通了下,原来数据局在以前我们段遭受大规模的DDOS攻击的时候在GSR上面做了策略,把所有进入我们段的udp数据包全部丢弃了,而解析刚好用到了tcp和udp的53端口,把udp封了,部分机器做的安全好的就无法访问了,于是老大联系武汉电信的机房维护主管,然后联系数据局的人,数据局的人马上要求说是开放udp呢还是就开udp的53端口,因为怕以后还会有些无聊的人攻击,所以我们决定只开放53端口,体动解析就好了,如果以后业务发展需求的话,就有可能开放udp所有的端口.

    终于无法解析的事情结束了,都是tmd的攻击搞的,事情解决了,心里也踏实了