由于包过滤配置错误导致外网不能访问内网服务器

发布时间:  2012-07-17 浏览次数:  100 下载次数:  0
问题描述
防火墙作为NAT设备部署在DMZ区域和Untrust区域之间,通过在防火墙上配置NAT Server,DMZ区域内的FTP服务器为外网用户提供FTP服务功能。在实际应用中,发生了Untrust区域用户无法访问FTP服务器的故障现象。
告警信息
处理过程
步骤 1     执行命令display firewall server-map,查看Server-map表项是否建立。[sysname] display firewall server-map
Nat Server: ANY -> 200.1.1.10[10.1.1.1], Zone: ---                               
Protocol: any(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---              
Vpn: public -> public                                                           
                                                                                
Nat Server Reverse: 10.1.1.1[200.1.1.10] -> ANY, Zone: ---                       
Protocol: any(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---              
Vpn: public -> public  
10.1.1.1表示FTP服务器的Inside地址。
200.1.1.10表示FTP服务器的Global地址。
每个生效的NAT Server都会建立静态Server-map表项。通过执行此命令,显示Server-map表项已建立,并且表项参数正确,则表明NAT Server相关配置成功。
步骤 2执行命令displayinterzone [ zone-name1zone-name2 ],查看域间相关的配置信息。
[sysname] display interzone dmz untrust                                   
#                                                                               
firewall interzone dmz untrust                                                
 packet-filter 3010 inbound                                                      
 detect ftp                                                                     

detect ftp表示域间已配置NAT ALG功能。
3010表示域间包过滤应用的ACL为3010。
inbound表示从低安全级别区域到高安全级别区域,即从Untrust到DMZ的方向。
步骤 3执行命令displayaclacl-number,查看ACL相关配置。
[sysname] display acl 3010                                       
Advanced ACL  3010, 1 rule,not binding with vpn-instance                         
Acl's step is 5                                                                 
 rule 0 permit ip destination 200.1.1.10
报文在到达时,会先查NAT Server,再查包过滤的ACL规则,所以在配置包过滤的时候,ACL涉及到的目的IP地址应该为FTP服务器转换后的Inside地址,即10.1.1.1。
步骤 4修改ACL 3010中的目的地址,重新验证,故障解决。
根因
  • 原因一:NAT Server参数配置错误。
  • 原因二:包过滤不允许报文通过。
  • 原因三:对于多通道协议,没有配置NAT ALG。
  • 原因四:路由不可达。
建议与总结
当NAT Server与包过滤配合使用,包过滤中的ACL规则中需要指定NAT Server的IP地址时,这个地址应该设置为NAT Server的Inside地址。

END