配置防火墙/NAT Server业务后,外网用户无法访问内网服务器

发布时间:  2015-03-31 浏览次数:  422 下载次数:  0
问题描述
组网情况:



现象描述:

在AR设备上配置了防火墙业务,发现外网用户无法访问内网服务器,删除防火墙业务,无此问题。

配置文件如下:

#acl number 2001
rule 0 permit source 10.0.1.0 0.0.0.255
rule 1 permit source 10.0.2.0 0.0.0.255
rule 2 permit source 10.0.3.0 0.0.0.255
rule 3 permit source 10.0.0.0 0.0.0.255
rule 4 permit source 10.0.30.0 0.0.0.255
rule 5 deny
#
acl number 3102
rule 5 permit tcp destination 10.0.0.13 0
rule 45 deny ip
firewall zone untrust
priority 1
firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
interface Vlanif30
ip address 10.0.30.1 255.255.255.0
zone trust
#
interface Ethernet0/0/4
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/1
ip address 209.29.234.51 255.255.255.248
nat server protocol tcp global current-interface 9010 inside 10.0.0.231 9010
nat server protocol tcp global current-interface 9012 inside 10.0.0.232 9012
nat server protocol tcp global current-interface 9014 inside 10.0.0.233 9014
nat server protocol tcp global current-interface 9016 inside 10.0.0.234 9016
nat server protocol tcp global current-interface 4899 inside 10.0.0.50 4899
nat server protocol tcp global current-interface 5430 inside 10.0.0.36 5430
nat server protocol tcp global current-interface 8081 inside 10.0.0.94 8081
nat server global 209.29.234.51 inside 10.0.0.13
nat outbound 2001
zone untrust
处理过程
通过配置文件可以看出,设备Eth0/0/4连接内网服务器,GE0/0/1连接Internet,且做了防火墙业务。

从外网进来的报文先走防火墙业务流程,再走NAT业务流程。当外网用户访问内网服务器(如10.0.0.13,使用的公网地址是209.29.234.51)时,防火墙业务的ACL规则应该匹配的是公网地址209.29.234.51。修改配置以后,问题解决。

修改配置如下:

acl number 3102
rule 5 permit tcp destination 209.29.234.51 0
建议与总结
熟悉业务处理的流程,ACL规则一定要匹配正确的地址。

END