我怎样才能找出为什么我的networking服务器拒绝来自我的networking代理的stream量?

我有一个奇怪的问题,我似乎无法弄清楚。 我将以这个确切的设置工作得很好,并由于某种原因已经停止正常工作这一事实,序言这个问题。

我有一个networking代理,以确保我的一个客户办事处的用户在上网之前过滤了他们的networkingstream量。 这个代理( Quinto Labs QLProxy )位于该networking的DMZ中。 另外在这个DMZ是一个Web服务器,承载几个小应用程序。

stream量的stream量如下(用于网页浏览)

USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Outside world 

用户尝试访问DMZ中Web服务器上托pipe的网站时的stream量stream如下

 USER (10.0.0.0/24) --> Web Proxy (172.16.0.6) --> Web Server (172.16.0.7) 

最近,networking服务器已经开始拒绝所有网站上的所有网站的stream量。 浏览器上的错误信息是The system returned: (110) Connection timed out

工作的网站的设置看起来与不起作用的相同。 当浏览到Web服务器上的网站不起作用时,我看到SYN_SENT和一个指向Web服务器的netstat -ant 。 我也看到我的路由器上的SYN SENT从代理到Web服务器。 DNS解决了工作的网站和那些不工作的罚款。 我在代理服务器上的/etc/hosts文件中有条目,以确保它们的准确性。 我已经尝试使用私人IP地址和公共IP地址为这些条目,结果似乎相同。

在Web服务器上完全删除防火墙不会改变任何内容,连接仍然被拒绝。

有谁知道为什么这可能会发生,或者能够告诉我,我可能会弄清楚为什么会发生这种情况?

编辑:

  • 据我所知,什么都没有改变,导致这个问题 – 我想不出有什么改变,可能造成的。
  • 代理机器上的iptables规则是空的
  • 如果我使用内部IP地址从代理远程login到Web服务器,但是如果通过外部IP地址(使用端口80)远程login,则不会。 这是一个NAT问题呢?
  • Web服务器是Server 2012
  • 代理机器或Web服务器都没有进行防火墙更改。

你不描述你的NAT设备是什么,但对我来说,这听起来就像那个NAT设备不能做发夹式(或回送)NAT 。

令人困惑的是,这可能如何突然改变。 我可以想到一些可能性。 也许你最近改变了NAT设备的configuration。 您也可能使用水平分割DNS来返回网站的私有地址(而不是公共地址),并且这些logging最近被删除。 也许您的代理服务器使用内部DNS服务器瓦特/水平分割logging,最近已重新configuration为使用Internet DNS。

在networking服务器上运行一个嗅探器,并确认来自代理的SYN数据包不会传送到networking服务器,这往往会把责备归咎于你的NAT设备。