通过防火墙内网地址不能打开web管理界面,外网通过公网地址打开正常

发布时间:  2012-07-20 浏览次数:  110 下载次数:  0
问题描述
用户在防火墙trust区域内访问内网接口地址192.168.0.1不能打开web管理界面,在外网访问公网地址能够打开
告警信息
处理过程

1、检查防火墙的包过滤规则 默认已经全部打开

2、检查防火墙路由,在防火墙上能ping通发起访问的主机

3、display firewall session table sourec inside X.X.X.X

    查看发起访问的内网地址的会话  发现访问内网接口地址192.168.0.1做了nat转换

4、在pc机上tracert 192.168.0.1 发现直接到了公网

5、检查配置,发现用户配置了策略路由,在acl 3334 里有一条permit ip

  

 policy-based-route wagntong permit node 5
  if-match acl 3333
  apply ip-address next-hop 113.0.143.137
 policy-based-route wangtong permit node 10
  if-match acl 3334
  apply ip-address next-hop 222.171.59.118
#

#
acl number 3334
 description dianxin_wangduan
 rule 9 permit ip destination 222.171.63.242 0
 rule 10 permit ip destination 221.229.253.251 0
 rule 20 permit ip destination 222.168.65.61 0
 rule 30 permit ip destination 222.68.252.20 0
 rule 100 permit ip
#

traffic classifier wangtong operator and
 if-match acl 3333
#
traffic behavior wangtong
#
interface GigabitEthernet0/0/0           
 mtu 1400
 description inside
 ip address 192.168.0.1 255.255.255.0
 ip policy-based-route wangtong

6、修改acl如下,

 acl number 3334
 description dianxin_wangduan

 rule 5 deny ip destination 192.168.0.1 0
 rule 9 permit ip destination 222.171.63.242 0
 rule 10 permit ip destination 221.229.253.251 0
 rule 20 permit ip destination 222.168.65.61 0
 rule 30 permit ip destination 222.68.252.20 0
 rule 100 permit ip

再次测试访问正常

根因

1、trust区域和local区域间规则问题

2、内网三层交换机路由问题

建议与总结

END