E8080EACL配置错误导致NAT server业务不通

发布时间:  2014-09-11 浏览次数:  238 下载次数:  11
问题描述
某局点WEB TV应用场景中,使用了两台Eudemon 8080E作为防火墙和NAT设备实现NAT SERVER功能。在按照技术方案完成了nat server配置,并且包过滤策略中配置了任意源到nat后公网地址的放行策略。防火墙上使用黑洞路由发布该公网地址。防火墙上下行使用OSPF,并且注入了静态路由。检查上下行路由表,已经通过OSPF学习到NAT SERVER的公网地址,但是无法通过公网地址访问内网服务器。
版本:V100R003C00SPC200 
告警信息
处理过程
1、从公网或者远端ping内网服务器的公网IP地址***.235.32.***,但是没有收到回复报文

2、查看session表详细信息。
           display firewall session table verbose destionation globe ***.235.32.***,发现session统计信息nat前接收报文packets正常,发送packets统计为0。
           据此可判断,报文正常进入防火墙,并且在防火墙上因为某种原因被丢包。

2、检查ACL配置,入方向包过滤策略引用的目的地址集是nat server的公网地址。Eudemon 8080E对于入包的业务处理流程是先NAT然后匹配包过滤策略。
       可以确定故障原因是报文进入防火墙后(入报文正常),经过NAT,发生了报文目的地址与ACL不匹配,导致防火墙丢包(出报文为0)。
        故障ACL引用的address-set配置:
       #  
        ip address-set nasiriyahunicast
               address 1 ***.235.32.*** 0.0.0.255 //使用了内网服务器NAT后的公网IP地址

       #
3、修改ACL中的destination地址为nat后的服务器内网地址,nat业务正常,业务恢复。

       修改后的address-set配置:
       #
       ip address-set nasiriyahunicast
           address 1 192.168.1.254 0.0.0.255 //使用了内网服务器的私网IP地址
       #

4、修改后的ACL相关配置
      #
      ip address-set nasiriyahunicast
          address 1 192.168.1.254 0.0.0.255            //目的地址集,使用了内网服务器的私网地址
      #
      ip port-set internetscr protocol tcp
          port 1 eq 12345                                              //业务端口集
          port 2 eq www
      #
      acl number 300*                                               //基于目的地址集和端口集的ACL策略
      description trust-untrust-inbound
      rule 25 permit tcp destination address-set nasiriyahunicast destination-port port-set internetscr
      rule 1000 deny ip
    
根因
1、防火墙没有成功发布服务器公网地址到公网,导致路由不同。

查看上下行设备,在routing-table中看到通过ospf发布的指向nat server globle地址的路由。

2、域间安全策略是否允许流量通过。

*检查防火墙域间策略,已经添加了允许访问nat后公网地址的ACL并且是permit。

3、流量是否确认到达防火墙。
      查看session表项,能够看到NAT成功的session表项,如下:
     HRP_M<***-***TV-8080E-01>display firewall session table
     http VPN: public --> public **.99.***.***:1044 --> ***.235.***.***:80[10.***.***.5:332**]

4、查看server-map表,可以看到NAT的地址端口映射已经建立成功。
HRP_M<***-***TV-8080E-01>dis firewall server-map
11:20:18  2012/06/23
ServerMap item(s) on slot 7 cpu 0
------------------------------------------------------------------------------
  Type: Nat Server,  ANY -> ***.235.32.***:80[10.***.***.5:12345],  Zone:---
Protocol: tcp(Appro: http),  Left-Time:---,  NatAddrPool: ---
Vpn: public -> public




建议与总结
1、Eudemon 8080E的NAT处理流程是先处理NAT,然后匹配ACL域间包过滤策略。因此涉及NAT的包过滤策略要使用NAT后的地址。


END