NAT Server映射内外端口不一致时,自定义服务目的端口错误,导致NAT Server不生效

发布时间:  2013-08-29 浏览次数:  396 下载次数:  0
问题描述
     国内某局点客户表示想将内网某台PC的3389端口开放,以便可以在外网随时远程。为了安全性客户不想在外部端口使用默认的3389端口而是改为8090端口,并且实现域间最小包过滤。
关键配置如下:
nat server 1 protocol tcp global 1.1.1.1 8090 inside 10.10.23.11 3389 no-reverse

ip service-set 远程桌面 type object
service 0 protocol tcp destination-port 8090

policy interzone chengjian dianxin inbound
policy 1
  action permit
  policy service service-set 远程桌面    
  policy destination 10.10.23.11 mask 32
以上配置后,客户反映3389端口不能正常访问,将域间策略全放开后访问无问题。


告警信息
处理过程
将自定义服务的目的端口更改为3389后,问题解决。


 ip service-set 远程桌面 type object
      service 0 protocol tcp destination-port 3389


根因
       根据客户反映将自定义服务应用于域间实现最小包过滤时,3389端口不能正常访问,将域间策略全放开后访问无问题。怀疑为域间包过滤问题。查看会话表发现在外网测试客户机telnet 1.1.1.1 8090端口时,防火墙上无会话信息。确定为域间包过滤配置错误,详细查看自定义服务时发现该自定义服务目的端口配置错误。
 
      ip service-set 远程桌面 type object
      service 0 protocol tcp destination-port 8090

      原因是根据防火墙处理数据的流程Servermap表会优于路由和包过滤等。首先防火墙会将外网的8090端口转换为内网的3389端口再去查找路由和匹配域间策略,而将目的端口定义为8090时在匹配域间策略时不满足导致防火墙丢包故而造成了访问3389端口不生效的问题。
建议与总结
     在处理故障时多分析数据包在整个环境中每一步的操作对定位故障和解决有很大的作用。另外基础知识的掌握和理解对排错有莫大的帮助。

END