防火墙DMZ区两台服务器通过外网IP不能互相访问，这该怎么配置？

可以在内网口上配置 nat hairpin 功能。

3.20.7  内网用户通过NAT地址访问内网服务器配置举例

1. 组网需求

·     某公司内部网络中有一台FTP服务器，地址为192.168.1.4/24。

·     该公司拥有两个外网IP地址：202.38.1.1和202.38.1.2。

需要实现如下功能：

·     外网主机可以通过202.38.1.2访问内网中的FTP服务器。

·     内网主机也可以通过202.38.1.2访问内网中的FTP服务器。

2. 组网图

图3-9 内网用户通过NAT地址访问内网服务器配置组网图

‌

3. 配置思路

该需求为典型的C-S模式的NAT hairpin应用，具体配置思路如下。

·     为使外网主机可以通过外网地址访问内网FTP服务器，需要在外网侧接口配置NAT内部服务器。

·     为使内网主机通过外网地址访问内网FTP服务器，需要在内网侧接口开启NAT hairpin功能。其中，目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成，本例中采用出方向动态地址转换配置。

4. 配置步骤

# 配置接口IP地址、路由、安全域及域间策略保证网络可达，具体配置步骤略。

# 配置ACL 2000，允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

<Device> system-view

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置NAT内部服务器，允许外网主机使用地址202.38.1.2访问内网FTP服务器，同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp

# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换，使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换。

[Device-GigabitEthernet1/0/2] nat outbound 2000

[Device-GigabitEthernet1/0/2] quit

# 在接口GigabitEthernet1/0/1上开启NAT hairpin功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] nat hairpin enable

[Device-GigabitEthernet1/0/1] quit

确认下防火墙具体型号、软件版本和现象吧

如果是服务器ip通过wan口地址访问业务，请检查nat配置和安全策略。重点是nat回流。与具体产品有关，不同产品实现方式有差异

如果不涉及nat业务，仅内网ip之间互访

那么检查防火墙是否有DMZ到DMZ的策略放行

如果有，则检查操作系统侧，如windows防火墙等