USG6330(V100R001C30)双出口端口映射后不能访问

发布时间:  2015-10-09 浏览次数:  505 下载次数:  0
问题描述

USG6330(V100R001C30)双出口静态IP,端口映射后均不能访问。

配置如下:

 nat server 1 protocol tcp global 1.1.1.192 3389 inside 192.168.1.96 3389 no-reverse

 nat server 2 protocol tcp global 1.1.1.192 6000 inside 192.168.1.150 6000 no-reverse

 nat server 3 protocol tcp global 1.1.1.192 1009 inside 192.168.1.145 1009 no-reverse

 nat server 4 protocol tcp global 1.1.1.192 1433 inside 192.168.1.145 1433 no-reverse

外网能够PING能该公网IP 1.1.1.192  ,安全策略为全部放开。

处理过程

1.因为安全策略全部放开,所以不考虑策略问题。

2.查看会话信息发现无异常,双向都有包收发。


3.考虑是否因为双线造成影响,因为这里没配置源进源出( reverse-route enable)。所以将两条线配置源进源出后问题解决。

内部服务器均能正常访问。

根因

数据从不同的接口进出,防火墙认为攻击,全部丢弃。

解决方案

配置源进源出

建议与总结

在防火墙的双出口环境中,需要注意各类攻击防范对报文的影响。如firewall defend ip-spoofing enable

END