USG6390 内部用户通过公网ip访问内部服务器失败

发布时间:  2016-12-13 浏览次数:  248 下载次数:  0
问题描述

内部用户无法通过公网ip访问内部服务器

内部 172.16.255.60:80 映射 外部218.75.X.X:88

测试:

通过 172.16.10.6去访问218.75.X.X:88无法访问

处理过程
 

1、测试公网用户访问218.75.X.X:88正常

检查防火墙配置,已经配置了域内nat,且放行了trunst到trust安全策略

2、登录防火墙看会话表,源区域显示是untrust而正常应该是trust

 <view>display firewall session table verbose source inside 172.16.10.6 destination g 218.75.X.X

 20:01:15  2016/06/23
  Current Total Sessions : 2
   http  VPN:public --> public  ID: a58f3fd6a12187794a576c4009
   Zone: untrust--> trust  TTL: 00:00:05  Left: 00:00:05  
   Output-interface: GigabitEthernet1/0/0  NextHop: 192.168.30.2  MAC: 00-11-bb-3e-c4-ff
   <--packets:1 bytes:52   -->packets:2 bytes:104
   172.16.10.6:53874[2.2.2.X:2096]-->218.75.X.X:88[172.16.255.60:80] PolicyName: 11                 //命中的是
trusttrust的安全策略
 
   http  VPN:public --> public  ID: a58f3fee7c7c8ab089576c4004
   Zone: untrust--> trust  TTL: 00:00:05  Left: 00:00:03  
   Output-interface: GigabitEthernet1/0/0  NextHop: 192.168.30.2  MAC: 00-11-bb-3e-c4-ff
   <--packets:2 bytes:104   -->packets:3 bytes:152
   172.16.10.6:53872[2.2.2.X:2095]-->218.75.X.X:88[172.16.255.60:80] PolicyName: 11 

 内网口是G0/0/1,内网口连接交换机,下一跳是 192.168.30.2(交换机与防火墙的互联ip)

根因
入域识别错误:原因是被反向报文刷成了untrust,因为反向报文查路由时命中了下面的策略路由

解决方案
修改该策略路由,源地址改为内网网段地址,即基于源地址做策略路由
建议与总结

防火墙安全区域是通过查路由来识别的,如192.168.1.0--AR--(trust)FW(untrust)--internet

正常理解下,192.168.1.0上网的流量是trust到untrust,但是如果防火墙上只配置了一条出公网的默认路由,而没配置回程路由,此时源为192.168.1.0网段的报文进入防火墙,防火墙查找路由表,去往192.168.1.0网段应该从公网口转发出去,遂识别报文源区域是untrust,生成的会话是untrust<->untrust

路由(包括策略路由)的错误配置可能导致防火墙反向查找把源安全区域识别错误,进而导致业务不通,以后遇到区域识别错误问题应从此方向考虑!

 

 

END