USG5310 外网web/telnet管理设备不成功原因分析

发布时间:  2012-07-17 浏览次数:  136 下载次数:  0
问题描述
客户称内网web/telnet管理设备没有任何问题,但就是在外网管理只能ping通设备公网ip,web/telnet管理设备都不成功。
告警信息
处理过程
检查配置发现,包过滤全放开,相关的管理服务都开启。最后才发现客户做了一个全映射,把出口公网ip全部映射到内网服务器了。修改为明细端口映射,问题解决。
 sysname USG5310
#
 web-manager enable
 web-manager security enable

#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outbound

 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outbound
#
 nat address-group 1 222.240.205.42 222.240.205.45
 nat server 0 global 222.240.205.42 inside 192.168.1.242
#
 firewall statistic system enable
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0
 ip address 192.168.2.1 255.255.255.0 sub
#
interface GigabitEthernet0/0/2
 ip address 222.240.205.42 255.255.255.248
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/2
 add interface GigabitEthernet0/0/3
#
policy interzone trust untrust outbound
 policy 1
 action permit
 policy source 192.168.0.0 mask 16
#
nat-policy interzone trust untrust outbound
 policy 1
 action source-nat
 policy source 192.168.0.0 mask 16
 address-group 1
#
aaa
 local-user tanweilie password cipher D="QLID+9W_,UMD0PV(YO1!!
 local-user tanweilie service-type web telnet
 local-user tanweilie level 3
#
 ip route-static 0.0.0.0 0.0.0.0 222.240.205.41
#
user-interface con 0
user-interface vty 0 4
 authentication-mode aaa
#
return
根因
怀疑是包过滤没放开,或者端口占用,或者配置没有完整。
建议与总结
做nat server 最好做明细的端口映射,不然原来访问设备的公网ip全部变为访问内部服务器的私网ip,带来不必要的麻烦。

END