usg5320做telnet地址映射,用户在私网用内网地址可以telnet到映射地址,但用公网地址telnet失败。

发布时间:  2012-07-17 浏览次数:  88 下载次数:  0
问题描述
usg5320做nat server 映射私网中的一台服务器server,在私网使用私网地址可以telnet到server,但是使用外网地址不能telnet到server。
告警信息
处理过程
1.查看包过滤及相关配置,无问题
2.检查acl列表中发现:控制允许访问该服务器的地址范围的acl顺序在规则rule deny ip后面,导致无法命中acl。
3.需要发布telnet服务器与发起telnet连接地址同属trust域,并做了域内nat,检查引用的acl发现acl中源地址和目标地址不同属一个域。
根因
  1. 可能域间包过滤未打开;
  2. 可能Acl规则过滤不当;
  3. 私网网段是否与做地址映射的telnet服务器同属于一个安全域;
4、域内nat配置是否正确。
建议与总结

1、用户调整acl顺序,确保acl能够被命中;

2、修改域内nat中引用的acl为源地址和目的地址在同一域内。

总结:配置acl时注意匹配顺序;做与内nat时注意检查源和目的是否正确。

END