• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1070端口映射问题

2023-08-15提问
  • 0关注
  • 0收藏,602浏览
粉丝:0人 关注:0人

问题描述:


  1. version 7.1.064, Release 9313P07
  2. #
  3. sysname HUAYINGQD_H3C_F1070
  4. #
  5. context Admin id 1
  6. #
  7. ip vpn-instance management
  8. route-distinguisher 1000000000:1
  9. vpn-target 1000000000:1 import-extcommunity
  10. vpn-target 1000000000:1 export-extcommunity
  11. #
  12. telnet server enable
  13. #
  14. irf mac-address persistent timer
  15. irf auto-update enable
  16. undo irf link-delay
  17. irf member 1 priority 1
  18. #
  19. dns server 60.255.80.18
  20. dns server 60.255.80.19
  21. #
  22. password-recovery enable
  23. #
  24. vlan 1
  25. #
  26. vlan 3801
  27. description GuanAnZhuanWan
  28. #
  29. vlan 3817
  30. description server
  31. #
  32. object-group ip address yw
  33. 0 network host address 172.28.112.6
  34. #
  35. object-group ip address yw-server
  36. 0 network host address 172.28.112.76
  37. #
  38. object-group service 1yw
  39. 0 service tcp destination lt 55556
  40. #
  41. interface NULL0
  42. #
  43. interface Vlan-interface3801
  44. #
  45. interface Vlan-interface3817
  46. description server
  47. #
  48. interface GigabitEthernet1/0/0
  49. port link-mode route
  50. ip binding vpn-instance management
  51. ip address 192.168.0.1 255.255.255.0
  52. #
  53. interface GigabitEthernet1/0/2
  54. port link-mode route
  55. ip address 60.255.174.143 255.255.255.224
  56. nat outbound
  57. nat server protocol tcp global 60.255.174.143 55555 inside 172.28.112.76 55555
  58. nat server protocol tcp global current-interface 55554 inside 172.28.112.6 55555
  59. #
  60. interface GigabitEthernet1/0/3
  61. port link-mode route
  62. ip address 172.28.112.220 255.255.255.0
  63. nat hairpin enable
  64. #
  65. interface GigabitEthernet1/0/4
  66. port link-mode route
  67. #
  68. interface GigabitEthernet1/0/5
  69. port link-mode route
  70. #
  71. interface GigabitEthernet1/0/6
  72. port link-mode route
  73. #
  74. interface GigabitEthernet1/0/7
  75. port link-mode route
  76. #
  77. interface GigabitEthernet1/0/8
  78. port link-mode route
  79. #
  80. interface GigabitEthernet1/0/9
  81. port link-mode route
  82. #
  83. interface GigabitEthernet1/0/10
  84. port link-mode route
  85. #
  86. interface GigabitEthernet1/0/11
  87. port link-mode route
  88. #
  89. interface GigabitEthernet1/0/12
  90. port link-mode route
  91. #
  92. interface GigabitEthernet1/0/13
  93. port link-mode route
  94. #
  95. interface GigabitEthernet1/0/14
  96. port link-mode route
  97. #
  98. interface GigabitEthernet1/0/15
  99. port link-mode route
  100. #
  101. interface GigabitEthernet1/0/16
  102. port link-mode route
  103. #
  104. interface GigabitEthernet1/0/17
  105. port link-mode route
  106. #
  107. interface GigabitEthernet1/0/18
  108. port link-mode route
  109. #
  110. interface GigabitEthernet1/0/19
  111. port link-mode route
  112. #
  113. interface GigabitEthernet1/0/20
  114. port link-mode route
  115. #
  116. interface GigabitEthernet1/0/21
  117. port link-mode route
  118. #
  119. interface GigabitEthernet1/0/22
  120. port link-mode route
  121. #
  122. interface GigabitEthernet1/0/23
  123. port link-mode route
  124. #
  125. interface GigabitEthernet1/0/1
  126. port link-mode bridge
  127. port access vlan 3817
  128. #
  129. interface Ten-GigabitEthernet1/0/24
  130. port link-mode route
  131. #
  132. interface Ten-GigabitEthernet1/0/25
  133. port link-mode route
  134. #
  135. object-policy ip Any-Any
  136. rule 0 pass
  137. #
  138. object-policy ip Trust-Trust
  139. rule 0 pass
  140. #
  141. object-policy ip Untrust-Trust
  142. rule 0 pass destination-ip yw service 1yw
  143. #
  144. object-policy ip pass
  145. rule 0 pass
  146. #
  147. security-zone name Local
  148. #
  149. security-zone name Trust
  150. import interface GigabitEthernet1/0/3
  151. import interface GigabitEthernet1/0/1 vlan 3817
  152. #
  153. security-zone name DMZ
  154. #
  155. security-zone name Untrust
  156. import interface GigabitEthernet1/0/2
  157. #
  158. security-zone name Management
  159. import interface GigabitEthernet1/0/0
  160. #
  161. zone-pair security source Any destination Any
  162. object-policy apply ip Any-Any
  163. packet-filter 3333
  164. #
  165. zone-pair security source Local destination Trust
  166. object-policy apply ip pass
  167. #
  168. zone-pair security source Local destination Untrust
  169. object-policy apply ip pass
  170. #
  171. zone-pair security source Trust destination Local
  172. object-policy apply ip pass
  173. #
  174. zone-pair security source Trust destination Trust
  175. object-policy apply ip Trust-Trust
  176. #
  177. zone-pair security source Trust destination Untrust
  178. object-policy apply ip pass
  179. #
  180. zone-pair security source Untrust destination Trust
  181. object-policy apply ip Untrust-Trust
  182. #
  183. scheduler logfile size 16
  184. #
  185. line class aux
  186. user-role network-operator
  187. #
  188. line class console
  189. user-role network-admin
  190. #
  191. line class vty
  192. user-role network-operator
  193. #
  194. line aux 0
  195. user-role network-admin
  196. #
  197. line con 0
  198. authentication-mode scheme
  199. user-role network-admin
  200. #
  201. line vty 0 63
  202. authentication-mode scheme
  203. user-role network-admin
  204. #
  205. ip route-static 0.0.0.0 0 60.255.174.129
  206. #
  207. ssh server enable
  208. #
  209. acl basic 2999
  210. rule 0 permit source 172.28.112.0 0.0.0.255
  211. #
  212. acl advanced 3333
  213. rule 0 permit ip
  214. #
  215. domain system
  216. #
  217. aaa session-limit ftp 16
  218. aaa session-limit telnet 16
  219. aaa session-limit ssh 16
  220. domain default enable system
  221. #
  222. role name level-0
  223. description Predefined level-0 role
  224. #
  225. role name level-1
  226. description Predefined level-1 role
  227. #
  228. role name level-2
  229. description Predefined level-2 role
  230. #
  231. role name level-3
  232. description Predefined level-3 role
  233. #
  234. role name level-4
  235. description Predefined level-4 role
  236. #
  237. role name level-5
  238. description Predefined level-5 role
  239. #
  240. role name level-6
  241. description Predefined level-6 role
  242. #
  243. role name level-7
  244. description Predefined level-7 role
  245. #
  246. role name level-8
  247. description Predefined level-8 role
  248. #
  249. role name level-9
  250. description Predefined level-9 role
  251. #
  252. role name level-10
  253. description Predefined level-10 role
  254. #
  255. role name level-11
  256. description Predefined level-11 role
  257. #
  258. role name level-12
  259. description Predefined level-12 role
  260. #
  261. role name level-13
  262. description Predefined level-13 role
  263. #
  264. role name level-14
  265. description Predefined level-14 role
  266. #
  267. user-group system
  268. #
  269. local-user admin class manage
  270. password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOhbabIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
  271. service-type ssh terminal https
  272. authorization-attribute user-role level-3
  273. authorization-attribute user-role network-admin
  274. authorization-attribute user-role network-operator
  275. #
  276. local-user admin1 class manage
  277. password hash $h$6$o+bE6jDauhE/m5cl$KZkWRMgqt++GGQK9lf10oyG2R+MwTKpJ63pIo6IvLaX8nnUicHprWi3OzFl/5jbIFm+Jrfez16ZQm3Wyq8KaIg==
  278. service-type telnet
  279. authorization-attribute user-role network-admin
  280. authorization-attribute user-role network-operator
  281. #
  282. ip http acl 2999
  283. ip https acl 2999
  284. ip https enable
  285. #
  286. inspect block-source parameter-profile ips_block_default_parameter
  287. #
  288. ips policy default
  289. #
  290. anti-virus policy default
  291. #
  292. return


组网及组网描述:

配置如上:G1/0/2接外网,G1/0/3接内网,想用此防火墙做端口映射。从防火墙上能telnet上述配置的内网服务器的55555端口。

但无法从外网访问60.255.174.143的55554端口

哪位大佬帮我看下,看是哪里有问题

最佳答案

粉丝:113人 关注:1人

从外网访问该端口的策略没有完全放行

  1. object-policy ip Untrust-Trust
  2. rule 0 pass destination-ip yw service 1yw

我配置文件里有这条:rule 0 pass destination-ip yw service 1yw

zhiliao_rCTejw 发表时间:2023-08-15 更多>>

我配置文件里有这条:rule 0 pass destination-ip yw service 1yw

zhiliao_rCTejw 发表时间:2023-08-15
3 个回答
粉丝:103人 关注:0人

您好,缺少了以下配置

object-group ip  yw

rule 0 pass destination-ip yw service yw


zone-pair security source Untrust destination Trust

object-policy apply ip yw 

[HUAYINGQD_H3C_F1070]object-group ip yw ^ % Unrecognized command found at '^' position. [HUAYINGQD_H3C_F1070]object-group ip ad [HUAYINGQD_H3C_F1070]object-group ip address yw [HUAYINGQD_H3C_F1070-obj-grp-ip-yw]rule ^ % Wrong parameter found at '^' position. [HUAYINGQD_H3C_F1070-obj-grp-ip-yw] 实际操作中,按你说的配置,IP后不能直接yw,ip后只能接addr,后面再接一名字

zhiliao_rCTejw 发表时间:2023-08-15 更多>>

object-group ip yw rule 0 pass destination-ip yw service yw 这两条敲不进

zhiliao_rCTejw 发表时间:2023-08-15

[HUAYINGQD_H3C_F1070]object-group ip yw ^ % Unrecognized command found at '^' position. [HUAYINGQD_H3C_F1070]object-group ip ad [HUAYINGQD_H3C_F1070]object-group ip address yw [HUAYINGQD_H3C_F1070-obj-grp-ip-yw]rule ^ % Wrong parameter found at '^' position. [HUAYINGQD_H3C_F1070-obj-grp-ip-yw] 实际操作中,按你说的配置,IP后不能直接yw,ip后只能接addr,后面再接一名字

zhiliao_rCTejw 发表时间:2023-08-15
粉丝:10人 关注:7人

你的untrust安全域到trust安全域放通了吗

我的版本是这个,f1000fw-cmw710-boot-R9313P07,或给个下载链接,我先升下级

zhiliao_rCTejw 发表时间:2023-08-15 更多>>

object-policy ip Untrust-Trust rule 0 pass destination-ip yw service 1yw

zhiliao_rCTejw 发表时间:2023-08-15

你在防火墙里用安全策略吧,现在v7可以用安全策略

奔跑的小马 发表时间:2023-08-15

我的版本是这个,f1000fw-cmw710-boot-R9313P07,或给个下载链接,我先升下级

zhiliao_rCTejw 发表时间:2023-08-15
zhiliao_rCTejw 知了小白
粉丝:0人 关注:0人

  1. object-policy ip Untrust-Trust
  2. rule 0 pass destination-ip yw service 1yw
  3. 这个就是呀

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明