NAT映射规则访问不通排查思路

大多数场景下防火墙都被部署于网络出口，承当着Internet和Intranet的边界，其访问控制和NAT功能便成了实施防火墙最主要的需求。当用户网络内部有服务器需要对外提供服务时，就需要在防火墙上配置附1策略。NAT在实际应用中基本上分为三种：1、源地址转换：用于内到外，提供内网终端访问互联网的功能；2、目的端口映射：用于外到内，提供外网访问内网服务器部分端口的功能；3、IP地址映射：用于外到内，提供外网访问内网服务器的所有流量功能；功能点2和3是常用的用来对内部服务器的映射，相信仅仅是配置方面都会让大家感觉不到什么难度，那么就着重来看一下当遇到映射不通时该如何去排查。映射访问不通一般分为三种情况，一是在外网访问映射不通，二是从内网访问映射不通，三是内外网都无法访问映射。在排查问题之前一定要先分别在内外和外网去测试是否可以正常访问，下面就内网访问不同或者外网访问不同的情况做了简要分析。拿下面这个很常见的拓扑来说:10.111*10.111*201.1.1t201.1.200・在该拓扑下，需求是将公网IP100.1.1.做80端口映射到内网服务器0（的80上，使内网和外网终端都可以通过访问100.1.1.来映射到0的80端口。标准配置如下:允许的安全策略：原业让日土.也让出三动作允许由可眈器30.1,1,200允许在排查问题过程中，不要在安全策略中引用IPS人丫、上网行为管理等模块，尽量缩小排错范围。端口映射规则：NAT策略抗攻击防护凝「SN/KT序世匚映射「I网!射□7规则占京地址:凌世址聘月为£■开地址内部地址内音邨务用又同口pnatlffiSr101.1.100hHphHpany其中，端口映射里的“源地址转化为”配置成10.1.1.，1是为了在上图环境中避免服务器回包直接通过三层交换机回给客户端的问题。该项配置是为了适用网络环境做出的更改，不属于防火墙缺陷。一、在内网和外网都无法访问映射1、确认防火墙和服务器的连通性：可以通过川£8界面的状态监控一状态信息一网络测试中的pingH具和portscan工具来探测服务器和防火墙之间的访问情况。其中需要说明一下portscan的测试结果的查看，是看STATE栏的值，如果是OPEN就标识端口可达：网络测试RA测试结果工具名称甲口代二匚日n^S!123,151.1.4S.111!SOFortscanreportzor123.151.143,111floatisup40_00753latency).PORT STATE SERVICE50ft httpSOfudpopenIfilteredhttp想要通过防火墙做映射去访问服务器，防火墙和服务器之间可以互联互通是前提，并且必须要保证到具体业务端口的可达性。如果发现连ping测试的结果都是不通的，那就需要先排查：防火墙是否有去往服务器的路由;服务是否有配置网关；中间设备是否有路由；中间的安全设备是否允许防火墙访问服务器；也可能是服务器自身禁ping;以上这几点都是需要和网络管理员去做确认的。在确认防火墙已经可以ping通服务器以后，再尝试通过portscar功能探测到服务器端口的可达性，如若探测的STATE是filter表明无法连通端口，可以按照下面思路去排查：中间的安全设备是否允许防火墙访问服务器端口；服务器的服务进程是否正常启动；服务器应用软件是否限制了防火墙的访问（访问IP限制）；是否有来回路径不一致情况，即请求报文和回应报应的路径不一致。2、配置方面的错误导致未配置“源地址转换为”选项。在上图环境中，内网普通终端和服务器的网关都在核心交换机上，它们的真实地址之间是可以相互直接访问的。这种拓扑下一定要配置端口映射中的“源地址转换为“选项。规则规则引用的地址错误。需要把规则引用的地址对象每个都点进去看一遍，检查其地址是否是你指定的地址，防止手误导致配置错误。规则的位置靠后导致未命中。尝试把配置的安全策略和映射规则移动到第一条位置，然后再尝试访问。为了排除会话影响，建议更换一个刚才未访问过的客户端去测试，或者等几分钟以后再重新测试访问。二、在内网访问映射正常，在外网无法访问1、运营商禁止。如果映射的业务端口是80、8080、443这类知名度很高的端口，那就得考虑用户购买公网IP的时候是否要求开通了这些端口，如果未开通则无法通过这些端口访问。排除这个问题很简单，只需要把映射所需的端口改成未知名端口测试，比如把原先的80端口改成8888或者9999,然后在外网通过更改后的端口测试访问。2、端口映射的公开地址未配置到别名接口上。较新的版本中端口映射的公开地址已经可以直接引用地址对象，但如果想要引用地址对象的端口映射正常工作是有前提的，前提就是：公开地址对象不能和防火墙自身的物理网口在同一个网段、不能和防火墙的下一跳在一

个网段、防火墙的下一跳必须有去往这个公网地址的路由且指到防火墙。如果前面几项不满足或者不确定，建议在做割接前的配置时把公开地址全部配置到别名，在排查问题时可以可以优先把映射的公开地址配置到出口的别名上。3、端口映射的公开地址别名未启用“别名通告”。在早期的版本上新建别名默认不启用“别名通告”选项，该选项的作用是周期性的广播自己的arp让直连设备学习。可以编辑别名接口--高级选项一启用别名通告IP勾选。4、多公网出口导致来回路径检测失败。很多情况下用户都会购置多运营商多个出口做负载或备份，针对其中一个出口的公网地址做映射，则在以下情况下可能会出现问题：A出口的地址做映射，A出口默认路由优先级为2,8出口的默认路由优先级为1，启用了应用防护一抗拒绝服务一抗攻击策略--其他配置中的“抗地址欺骗攻击”（老版本上位于防火墙一安全选项中的“抗地址欺骗攻击”）或者勾选了接口配置的高级选项中的开启抗ARP攻击/开启检测网内IP地址）中突。这种情况下从公网访问A口的地址映射则会无法访问。北1T?占用射则会无法访问。北1T?占用卉中年这是防火墙自身的安全机制，为了防止源地址欺骗攻击。需要做的是关闭“抗地址欺骗攻击”和接口的那两个配置项;或者将A口的默认路由的优先级也改成和B口的优先级一致。路由的优先级值小代表优先级别高，同一个目的的多条路由优先级值大的表备份。A出口的地址做映射，A口和B□的默认路由优先级都为1，但未勾选了静态路由配置页面的“启用基于状态回包功能”。在公网访问A口映射时可能会出现A口进来B口回去的问题，即无法对反向回包基于状态。需要做的就是重新勾选这个选项即可。

►系统管理►网络管理►系统管理►网络管理▼路由管理基本路由ISP5&B策略路由静态路由r目的地址糜码ri192.168.2.O/255,255.255.Or/r/55I必启用基于状京目包功能［即时生效）I5、内网路由影响。在某些情况下服务器或者服务器测网络设备有回指到内网的路由,所以在内网可以访问，但是没有配置上公网的默认路由，导致从公网过来的访问无法回应。这种情况下就需要检查其他网络设备的路由来处理问题。三、在外网访问映射正常，在内网无法访问1、未配置“源地址转换为“选项导致。类似于上面的拓扑中描述的那样，内网终端和服务器的网关在三层交换机上，他们之间访问不通过防火墙的情况，都必须要配置端口映射规则中的“源地址转换为“，一般都是配置成防火墙内网接口的IP地址。2、策略路由影响。如果设备有多个运营商出口，用户可能会需要配置策略路由来指定内网网段走不同的线路访问互联网。当内网A网段被策略路由指向了1出口，那么内网A网段访问2出口的端口映