根据会话信息解决地址映射问题

发布时间:  2012-07-17 浏览次数:  83 下载次数:  0
问题描述

公网------fw------sw----server

某局点内部有一台ERP服务器,内网访问时通过在客户端软件上输入ip地址及相关信息即可访问,但是地址映射后公网不能访问,服务器可以访问外网

nat server 0 protocol tcp global 59.46.35.211 1433 inside 176.16.1.2 1433
nat server 1 protocol tcp global 59.46.35.211 768 inside 176.16.1.2 768
nat server 2 protocol tcp global 59.46.35.211 769 inside 176.16.1.2 769

告警信息
处理过程

1.远程接入检查配置基本正确
2.查看会话确定路由和nat server 配置基本正确
[USG2100]dis firewall session table destination inside 176.16.1.2
16:38:27 2012/03/27
Current Total Sessions : 1
tcp VPN:public --> public 59.46.35.210:14416-->59.46.35.211:769[176.16.1.2:769]
3. 测试服务器上是否屏蔽端口或访问
undo nat server 0
undo nat server 1
undo nat server 2
nat server global 59.46.35.211 inside 176.16.1.2

访问正常 客户多次测试查看会话发现 建立连接存在其它端口


[USG2100]dis firewall session table destination inside 176.16.1.2
tcp VPN:public --> public 222.186.26.58:6000-->59.46.35.211:6666[176.16.1.2:6666]
tcp VPN:public --> public 124.227.192.165:6000-->59.46.35.211:8909[176.16.1.2:8909]
tcp VPN:public --> public 124.227.192.165:6000-->59.46.35.211:9415[176.16.1.2:9415]
tcp VPN:public --> public 119.139.120.32:4866-->59.46.35.211:769[176.16.1.2:769]
tcp VPN:public --> public 119.139.120.32:4973-->59.46.35.211:769[176.16.1.2:769]

4. 增加地址映射 端口,客户测试后可以正常访问
undo nat server 0
nat server 0 protocol tcp global 59.46.35.211 1433 inside 176.16.1.2 1433
nat server 1 protocol tcp global 59.46.35.211 768 inside 176.16.1.2 768
nat server 2 protocol tcp global 59.46.35.211 769 inside 176.16.1.2 769
nat server 3 protocol tcp global 59.46.35.211 6666 inside 176.16.1.2 6666
nat server 4 protocol tcp global 59.46.35.211 8909 inside 176.16.1.2 8909
nat server 5 protocol tcp global 59.46.35.211 9415 inside 176.16.1.2 9415

根因
1.配置问题
2.运营商或服务器屏蔽部分端口
3.客户配置的端口不完整
建议与总结

通过配置全映射可以一定程度上排除防火墙和服务器本身干扰,以及访问使用到的端口

END