配置NAT Server后,从外网访问测试不成功

发布时间:  2016-04-11 浏览次数:  145 下载次数:  0
问题描述
USG5120 配置NAT Server后,从外网访问测试不成功。
处理过程

1.       让客户提供配置信息,相关配置如下:

#

interface Vlanif1000

 ip address 192.168.100.1 255.255.255.0

#

nat server 0 protocol tcp global 120.192.151.164 www inside 10.10.10.5 www no-reverse

#

interface GigabitEthernet0/0/0

 portswitch

 port link-type access

 port access vlan 1000   

#

interface GigabitEthernet0/0/1

 ip address 120.192.151.164 255.255.255.0

nat enable

#

firewall zone trust

add interface GigabitEthernet0/0/0

#

firewall zone untrust

add interface GigabitEthernet0/0/1

#

ip route-static 10.10.10.0 255.255.255.0 192.168.100.4

#

2.       通过分析配置发现,配置的nat server没有问题,只是没有配置untust区域到trust区域的安全策略,让客户增加如下配置:

#

policy interzone trust untrust inbound

policy 0

  action permit

  policy destination 10.10.10.5 0

#

配置安全策略后,从外网测试还是无法访问。

3.       让客户从外网访问的同时,查看防火墙会话信息,结果如下:

<USG5120>display firewall session table verbose destination global 120.192.151.164

11:02:11  2016/01/19

 Current Total Sessions : 0

发现没有会话信息,说明访问的报文根本没有到达防火墙,跟客户确认公网IP地址无问题后,怀疑可能是运营商屏蔽了80端口,让客户更换映射的其它公网端口再进行测试,访问成功。

根因

1. 未配置相关安全策略;

2. 运营商屏蔽了80端口。

解决方案

1.       配置相关安全策略;

2.       更换映射的其它公网端口。

END