USG 翻译友商设备 NAT server配置问题

发布时间:  2014-02-26 浏览次数:  176 下载次数:  0
问题描述
组网:

1) PC_1的IP地址:10.0.26.233/24、PC_2的IP地址:145.196.64.254。
2)USG的Port_1口IP地址:10.0.26.232/24,USG的Port_2口IP地址:145.196.64.18/24。
NAT server 相关配置翻译后导入USG,PC2 对公网地址发起ftp服务失败,防火墙上无会话
告警信息
处理过程
将包过滤策目的地址修改为内网服务器地址。问题解决
#
policy interzone trust newzjyw inbound
   policy 112
  action permit
  policy service service-set ftp2121
  policy source 16.5.1.202 0
  policy destination 10.0.26.233 0
#
根因
故障时配置:
#
policy interzone trust newzjyw inbound
   policy 112
  action permit
  policy service service-set ftp2121
  policy source 16.5.1.202 0
  policy destination 145.196.64.17 0
#
nat server 0 zone newzjyw protocol tcp global 145.196.64.17 25035 inside 10.0.26.233 25035
nat server 2 zone newzjyw protocol tcp global 145.196.64.17 ftp inside 10.0.26.233 ftp
#

当时按照友商配置翻译。
发现包过滤策略中目的地址是公网地址,而USG是先进行NAT转换,再进行包过滤。做完NAT转换后,目的地址变为10.0.26.233,被包过滤策略过滤掉。
建议与总结
不同厂商设备配置翻译时要注意差异性.....

END