一个USG6650域内nat不生效问题

发布时间:  2014-06-20 浏览次数:  268 下载次数:  0
问题描述
一个USG6650,对外映射了很多服务,在公网能正常访问,在内网不能通过公网地址访问,做了域内nat还是不行。
告警信息
处理过程
1.访问的时候查看会话看是否nat转换,没有会话。
2.怀疑是防火墙丢包,进入诊断模式做流量统计:
Protocol(TCP) SourceIp(172.30.43.50) DestinationIp(218.56.126.243)    
SourcePort(1613) DestinationPort(80) VpnIndex(public)             
Receive               Forward             Discard    
Obverse : 3      pkt(s) 0          pkt(s) 3          pkt(s)   
Reverse : 0       pkt(s) 0          pkt(s) 0          pkt(s)

发现有丢包。

3.仔细检查配置,放开trust到 trust区域包过滤后能成功访问。

根因
1.域内nat不生效。
2.设备丢包等其他问题。
建议与总结
USG6600系列,同区域数据流也需要放开包过滤。

END