nat server配置问题导致在外网不能telnet管理设备

发布时间:  2013-06-14 浏览次数:  198 下载次数:  0
问题描述
web server--------dmz---------USG5530-----------untrust------------ISP------------pc2
                                                             |
                                                         trust
                                                             |
                                                           pc1

如上图所示,用户在DMZ区域部署了一台web服务器,并对外提供服务,在trust区域有一台pc1可以顺利的通过设备的trust接口进行网管。但是在外网不能网管设备。telnet总是失败。
告警信息
在telnet时提示如下:

C:\Documents and Settings\Administrator>telnet 1.1.1.1
正在连接到1.1.1.1...不能打开到主机的连接, 在端口 23: 连接失败


处理过程
1.检查域间包过滤从local到untrust的inbound和outboard都是全放行的,没有问题。
2.检查ACL,没有ACL阻挡住外网的telnet流量。
3.有留意到用户映射的web服务器命令如下:
             nat server global 1.1.1.1 inside 192.168.1.1
        用户web服务器上有一些应用并非通过80端口来发布的,所以映射80端口出去后,外网的用户访问该网页有部分应用不能正常使用,用户在不知道业务端口的情况下,做了全映射。
        当我们在telnet  1.1.1.1的时候,将通过nat server转换直接telnet到192.168.1.1这台web服务器上的23端口,由于该服务器没有开启telnet服务,使用导致telnet失败。
        解决方法,让用户收集服务器提供服务的明细端口,对那些端口做映射即可。
根因
1.可能域间包过滤未打开。
2.可能Acl规则过滤不当。
3.nat配置是否正确。
建议与总结
为避免类似情况和防止网络安全,在做nat server的时候精确的映射相关的端口出去。

END