内网PC 通过私网IP能访问WEB服务,内网PC通过公网IP不能访问WEB服务

发布时间:  2014-09-12 浏览次数:  286 下载次数:  0
问题描述
问题描述:客户内网有多台WEB服务器,在防火墙上配置NAT 地址映射后,其中一台在外网通过公网IP能访问WEB服务,在内网通过私网IP能访问WEB服务,在内网通过公网IP不能访问WEB服务。其他几台服务器访问一切正常。
拓扑图:

告警信息
处理过程
1、将WEB服务器另一张网卡(192.168.18.X/24)禁用。可以解决。
2、如果不禁用另一张网卡,在TRUST到DMZ域间配置outbound 方向的NAT转换。配置后服务器就会将包回给防火墙,再回给PC。配置如下:

配置地址池:
[USG5310]nat address-group 5 172.16.80.1  172.16.80.1
配置NAT策略:
[USG5310]nat-policy interzone trust dmz outbound
[USG5310-nat-policy-interzone-trust-dmz-outbound]policy 0
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]action source-nat
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]policy source 192.168.18.0 0.0.0.255
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]address-group 5
[USG5310-nat-policy-interzone-trust-dmz-outbound-0]
根因
由于客户WEB服务器上是双网卡,并且另一张网卡配置的IP地址和办公网络的PC同一个网段。客户在防火墙上已将链路会话状态功能关闭,PC使用私网地址去访问WEB服务时,防火墙中有会话,服务器在回服务请求包的时候直接从内部交换回到PC。当打开链路会话状态功能后,使用私网IP就不能访问。通过公网地址来访问时,服务器是直接使用私网地址回包,PC会将回包丢弃,导致访问不成功。
建议与总结

END