防火墙nat server不生效问题定位

发布时间:  2012-07-20 浏览次数:  241 下载次数:  0
问题描述

问题组网

192.168.1.1/24 (client) --------192.168.1.2/24 G0/0/0 (FW) G0/0/1 128.1.1.1/30----128.1.1.2/30

问题现象

防火墙上配置NAT Server,为外网提供FTP Server服务,但是Client访问NAT Server的FTP业务不通.

告警信息
处理过程

(1)  查看防火墙上NAT Server配置

[USG5300]display nat server 

关键看NAT Server的IP地址,协议,以及入安全域是否配置正确。

(2) 查看防火墙与Client的网络是否连通

防火墙上暂时打开默认包过滤,然后直接ping Client的IP,观察防火墙与Client的网络是否正常.

[USG5300]firewall packet-filter default permit all

[USG5300]ping X.X.X.X

(3) 查看防火墙与InsideIP之间的网络是否连通

防火墙上暂时打开默认包过滤,然后直接ping InsideIP的IP,观察防火墙与NatServer的InsideIP之间的网络是否正常.

[USG5300]firewall packet-filter default permit all

[USG5300]ping X.X.X.X

如果防火墙与InsideIP之间ping不通,可以查看一下防火墙的路由,

[USG5300]display fib X.X.X.X

这里要特别注意的是,防火墙到InsideIP的路由不通,比如InsideIP对应的出接口没有配置IP, 或者该接口没有加入域,NAT Server配置不会生成静态的Server-Map表。 Nat Server要生效,必须生成对应的静态Server-Map表。查看静态Server-Map表用如下命令:

[USG5300]display firewall server-map static

(4) 查看Server上的路由表

很多时候,Nat Server不通,不是防火墙造成的,防火墙已经将报文发送到内部的Server上,但是内部Server因为路由不正确,回复报文不能正常发送到防火墙。尤其只配置了Nat Server的应用, 没有配置Nat Server+NAT双向组网的时候,尤其要注意Nat Server的内部Server上有没有配置到外网Client网段的路由.

(5) 查看域间包过滤关系

如果防火墙与Client的网络完好,防火墙与InsideIP之间的网络也完好,Nat Server的配置也没什么问题,但是Nat Server 还是不能通,就需要查看一下Client所在域与InsideIP所在域的域间包过滤关系。尤其是ACL匹配目的IP的时候,特别要注意,目的IP应该匹配InsideIP,不是GlobalIP.  源IP应该匹配Client的IP.

[USG5300-interzone-trust-untrust]dis acl 3000

(6) 检查内部Server上相应的服务有没有开启

比如在配置Nat Server提供FTP Server服务的时候,就需要检查一下内部Server上是不是开启了FTP Server的服务,以及FTP Server软件是不是运行正常。

(7) 检查防火墙的ASPF功能是否开启

有时候出现FTP控制通道可以连接,但是数据通道不能连接,比如可以登录,但是不能上传和下载文件,或者不能取得FTP Server上的文件列表,就需要查看一下是不是域间的ASPF功能没有开启.

[USG5300-interzone-trust-untrust]detect ftp

根因

可能原因:

(1)  NAT Server配置

(2) 防火墙与Client的网络连通问题

(3) 防火墙与InsideIP之间的网络连通问题

(4) Server上的路由表不正确

(5) 域间包过滤不正确

(6) 内部Server上相应的服务没有开启

(7) 防火墙的ASPF功能没有开启

建议与总结

END