防火墙Eudemon-200E(V2R7)远端服务不能访问问题

发布时间:  2013-06-08 浏览次数:  277 下载次数:  0
问题描述
设备型号:USG2200,软件版本:V100R003
客户描述:客户之前用的是联通的专线,现在换成电信的,更改地址后,终端不能访问服务器。
由于服务器在客户的上级单位,它并不知道服务器的真实地址为192.168.100.1,告诉我远端服务器为192.168.199.254。
客户告知能ping通192.168.199.254,但是不能访问服务,去掉我方防火墙后,可以ping通,也能正常访问。
告警信息
处理过程
1、首先怀疑了我方设备未打开客户需要访问服务的端口或者协议,通过检查配置,都已开启。
2、重新检查了配置,做了telnet端口测试后,确定网络无问题,怀疑客户遗漏了信息,联系客户询问服务器端是否收到我方发出的服务请求,确认未收到,然后在服务器端做ping测试,不能ping通我方设备,询问服务器地址,得知真实服务器地址为192.168.100.1。
3、ping192.168.100.1,发现不通,通过在防火墙上查看回话表发现,去往192.168.100.1的包并未从192.168.199.243出去,而是通过了另外的端口,检查配置发现,有一条去往192.168.100.0网段的静态路由,出口为其他接口。



4,更改静态路由后,依旧不能ping通192.168.100.1,在出接口192.168.199.243可以ping通,怀疑对端不知道192.168.0.0的路由,在出接口做NAT策略,解决该问题。





根因
原因1:我方设备未打开需要通过的端口或者协议。
建议与总结
1、首先要了解清楚网络的基础架构。
2、遇到问题要大胆怀疑,小心求证,不要完全相信客户的描述。
3、学会变通和灵活,NAT并不仅仅可以用于实现上网和隐藏内网用户,还可以间接打通网络。

END