USG5120V3R1C10spc200端口映射未加no-reverse导致ping内网PC不通

发布时间:  2014-12-31 浏览次数:  1989 下载次数:  0
问题描述
客户来电反馈做了端口映射后在USG防火墙上主动ping内网PC不通,但内网pc可以ping通设备的管理ip。
处理过程
 查看客户配置发现做了一条管理ip的端口映射,并且未加no-reverse参数:
 nat server 2 protocol tcp global 152.136.14.9 3354 inside 192.168.101.208 3354
众所周知,当配置映射时不加no-reverse参数,会建立一条反向server map表:
 Nat Server, any -> 152.136.14.9:3354[192.168.101.208:3354], Zone: ---
  Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---
  VPN: public -> public
 当在USG防火墙上主动ping内网PC时,会命中server-map表(server-map全局有效)进行地址转换,从而导致回包失败:
<USG5120>d f s t v p icmp
23:17:03  2014/12/30
  Current Total Sessions : 2
   icmp  VPN:public --> public
   Zone: local--> trust  TTL: 00:00:20  Left: 00:00:00
   Output-interface: GigabitEthernet0/0/0  NextHop: 192.168.101.1  MAC: 00-18-82-c6-68-2c
   <--packets:0 bytes:0   -->packets:5 bytes:420
   192.168.101.208:43990[152.136.14.9:43990]-->192.168.102.106:2048
根因
配置端口映射时未加no-reverse参数,设备会创建正反向server map表。
解决方案
在配置的端口映射后添加no-reverse参数:
nat server 2 protocol tcp global 152.136.14.9 3354 inside 192.168.101.208 3354 no-reverse

END