WinTop E5-2667 NAT规则丢失事件

大概是2018年12月22日八点的时候,技术人员小C突然找我,向我报告E5-2667上面路由器的映射规则都丢失了. (后来经过检查发现还剩余少量规则).

具体的操作是,小C发现有一部分的规则出现了端口重叠,他将这些规则的端口改正过来之后,点击pfSense的"立即应用"按钮.接下来规则就消失了.

这可是大新闻啊,哦不,大事件. 事发之后发现外网访问已经不通了, 登陆ESXi,从内网上防火墙. 登陆防火墙之后发现,规则只剩下一开始添加的那几条了.

由于pfSense对每次设置修改都有配置文件备份,我去查看了配置文件备份,发现对于小C修改端口的操作并没有生成备份.甚至在今天(12月22日)完全没有过修改端口的配置备份. 看来恢复到最近的配置文件是不行的了. 我挑选了12月19日的备份进行恢复,缺少的NAT规则回来了. 但是外网访问pfSense仍然不成功. 后来搜索了一番,我发现

pfSense的主硬盘居然TMD满了?

主分区爆满

这一看,我倒大概知道发生了什么了. 之前我为了网络安全,加装了一个Suricata. 用于检测入侵流量. 但是没想到Suricata把日志都写入到硬盘里,我还以为他会切割日志然后删除太旧的. 为了确认我的猜想,我登录进防火墙的SSH,进入/var/log, 执行了du -sh *

du -sh *
妈耶,好大啊

还用说? 直接删除掉这个文件夹,然后重启pfSense. 好了一切正常.

所以我估计,应该是硬盘早就写满了,当小C保存并让规则生效的时候,由于硬盘写不下了,所以多出来的规则就被丢弃掉了,从而造成了大部分的规则都没了.

这个事情告诉我们,生产环境里,日志储存也是非常重要的一环.

点赞
  1. misakacloud说道:
    Google Chrome Windows 10

    反正你有那么多服务器,自己搞一个日志专用服务器嘛

发表评论

%d 博主赞过: