问

f1000防火墙

2018-11-20提问

0关注
1收藏，1435浏览

网络新人小白

网络新人小白零段

粉丝：0人关注：0人

问题描述：

专线接防火墙1/1 地址是10.3.128.52对端是10.3.128.49  做的nat地址池10.16.3.2 10.16.3.5 0/1口接一个二层的交换机地址是192.168.10.1 客户端的IP是192.168.10.2
现在的问题客户端ping不通10.3.128.49
这个是防火墙的配置

[***_1000_S] dis cur
#
sysname ***_1000_S
#
l2tp enable
#
firewall packet-filter enable
firewall packet-filter default permit
#
nat address-group 2 10.16.3.2 10.16.3.5
#
firewall statistic system enable
#
firewall binary-log host 192.168.10.1 9002
#
radius scheme system
server-type extended
#
domain ith
domain system
authentication local
ip pool 1 160.166.20.10 160.166.20.100
#
local-user 123
password simple 123
service-type ppp

#
ike dpd defaultdpd
#
acl number 2000
acl number 2002
rule 0 permit source 0.0.0.0 255.255.255.0
#
acl number 3000
rule 0 permit ip destination 160.166.0.52 0.0.0.3
acl number 3002
description WCN_ACL_WAN_IN
rule 0 deny tcp destination-port range 6881 6890
rule 0 comment wcn_BT
rule 1 deny tcp destination-port range 81 82
rule 1 comment wcn_BT
rule 2 deny tcp destination-port eq 6969
rule 2 comment wcn_BT
rule 3 deny tcp destination-port eq 8080
rule 3 comment wcn_BT
rule 4 deny tcp destination-port eq 2710
rule 4 comment wcn_BT
rule 5 deny tcp destination-port range 4661 4662
rule 5 comment wcn_Emule
rule 6 deny udp destination-port eq 6656
rule 6 comment wcn_Emule
rule 11 deny tcp source-port eq 135
rule 12 deny tcp source-port eq 137
rule 13 deny tcp source-port eq 139
rule 14 deny tcp source-port eq 445
acl number 3003
description WCN_ACL_LAN_IN
rule 0 deny tcp destination-port range 6881 6890
rule 0 comment wcn_BT
rule 1 deny tcp destination-port range 81 82
rule 1 comment wcn_BT
rule 2 deny tcp destination-port eq 6969
rule 2 comment wcn_BT
rule 3 deny tcp destination-port eq 8080
rule 3 comment wcn_BT
rule 4 deny tcp destination-port eq 2710
rule 4 comment wcn_BT
rule 5 deny tcp destination-port range 4661 4662
rule 5 comment wcn_Emule
rule 6 deny udp destination-port eq 6656
rule 6 comment wcn_Emule
rule 7 deny udp destination-port eq 4672
rule 7 comment wcn_Emule
rule 8 deny ip destination 121.9.211.201 0
rule 8 comment wcn_Poco
rule 9 deny ip destination 121.9.211.182 0
rule 9 comment wcn_Poco
rule 10 deny udp source-port eq netbios-ns destination 121.9.211.186 0
rule 10 comment wcn_Poco
rule 11 deny ip destination 121.9.213.157 0
rule 11 comment wcn_Poco
rule 12 deny ip destination 121.9.233.71 0
rule 12 comment wcn_Poco
rule 13 deny ip destination 121.9.211.166 0
rule 13 comment wcn_Poco
rule 14 deny ip destination 121.9.211.180 0
rule 14 comment wcn_Poco
rule 15 deny ip destination 121.9.248.56 0
rule 15 comment wcn_Poco
rule 16 deny ip destination 121.9.248.55 0
rule 16 comment wcn_Poco
rule 17 deny ip destination 121.9.248.180 0
rule 17 comment wcn_Poco
rule 18 deny ip destination 221.11.114.227 0
rule 18 comment wcn_Poco
rule 19 deny ip destination 0.0.0.0 0
rule 19 comment wcn_Poco
rule 20 deny ip destination 59.39.59.7 0
rule 20 comment wcn_Poco
rule 21 deny ip destination 59.39.59.8 0
rule 21 comment wcn_Poco
rule 22 deny ip destination 59.39.59.12 0
rule 22 comment wcn_Poco
rule 23 deny ip destination 58.83.130.45 0
rule 23 comment wcn_Poco
rule 24 deny ip destination 58.211.84.138 0
rule 24 comment wcn_Poco
rule 25 deny ip destination 121.9.248.57 0
rule 25 comment wcn_Poco
rule 26 deny ip destination 211.98.110.124 0
rule 26 comment wcn_Poco
rule 27 deny ip destination 61.153.183.37 0
rule 27 comment wcn_Poco
rule 28 deny ip destination 61.153.183.38 0
rule 28 comment wcn_Poco
rule 29 deny ip destination 61.236.145.200 0
rule 29 comment wcn_Poco
rule 30 deny ip destination 8.12.197.124 0
rule 30 comment wcn_Poco
rule 31 deny ip destination 8.12.197.125 0
rule 31 comment wcn_Poco
rule 32 deny ip destination 208.111.144.245 0
rule 32 comment wcn_Poco
rule 33 deny ip destination 208.111.144.208 0
rule 33 comment wcn_Poco
rule 34 deny ip destination 202.75.213.121 0
rule 34 comment wcn_Poco
rule 35 deny ip destination 116.28.65.253 0
rule 35 comment wcn_Poco
rule 36 deny ip destination 208.111.144.214 0
rule 36 comment wcn_Poco
acl number 3005
rule 0 permit ip source 160.166.20.0 0.0.0.255 destination 160.166.0.55 0
rule 1 permit ip source 160.166.20.0 0.0.0.255 destination 160.166.0.49 0
rule 2 deny ip source 160.166.20.0 0.0.0.255
rule 3 permit ip
acl number 3006
rule 5 permit ip
#
interface Virtual-Template1
ppp authentication-mode pap
ip address 160.166.2.200 255.255.255.0
remote address pool 1
#
interface Aux0
async mode flow
#
interface GigabitEthernet0/0
description to zhufanghuoqiang
ip address 160.166.1.9 255.255.255.0
#
interface GigabitEthernet0/1
description ith
ip address 192.168.10.1 255.255.255.0
firewall packet-filter 3006 inbound
firewall packet-filter 3006 outbound
#
interface GigabitEthernet1/0
description WCN_INTERFACE_WAN
ip address 1.1.1.2 255.255.255.252
firewall packet-filter 3002 inbound
nat outbound 2000 interface LoopBack0
#
interface GigabitEthernet1/1
description ith
ip address 10.3.128.52 255.255.255.0
firewall packet-filter 3006 inbound
firewall packet-filter 3006 outbound
nat outbound 3006 address-group 2
#
interface Encrypt2/0
#
interface NULL0
#
interface LoopBack0
ip address 125.35.213.3 255.255.255.255
#
firewall zone local
set priority 100
#
firewall zone trust
add interface GigabitEthernet0/0
add interface GigabitEthernet0/1
set priority 85
statistic enable zone inzone
statistic enable zone outzone
statistic enable ip outzone
#
firewall zone untrust
add interface GigabitEthernet1/0
add interface Virtual-Template1
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall zone name bdgjyy
add interface GigabitEthernet1/1
set priority 65
statistic enable zone inzone
statistic enable zone outzone
statistic enable ip outzone
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone local bdgjyy
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone trust bdgjyy
#
firewall interzone DMZ untrust
#
firewall interzone bdgjyy untrust
#
firewall interzone bdgjyy DMZ
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 preference 60
ip route-static 10.192.23.0 255.255.255.0 GigabitEthernet 1/1 10.3.128.49  pref
erence 60
ip route-static 160.166.0.0 255.255.255.0 160.166.1.12 preference 60
ip route-static 172.18.1.0 255.255.255.0 160.166.0.61 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
[***_1000_S]

请各位大侠给看看到底哪里出现了问题，谢谢

最佳答案

dmlpopool

dmlpopool 四段

粉丝：0人关注：0人

建议排查过程：

1、终端ping 192.168.10.1，看是否能通，如果能通，继续step2

2、终端ping 10.3.128.52，看是否能通，如果能通，继续step3

3、终端ping 10.3.128.49，当然结果应该是不通。建议查看是否nat 会话，dis nat session source-ip 192.168.10.2，如果能看到会话，说明ping 的request报文已经从接口1/1出去了，并且做了NAT转换，此时需要排查专线对端设备，重点是看对端设备是否有道10.16.3.2-10.16.3.5的路由。

从经验分析，很可能是对端没有回程路由导致。

以上排查过程的step1和step2如果不通，则需要排查二层交换机是否有什么异常了。

1，2都没问题

网络新人小白发表时间：2018-11-20

那专线对端是否有回程路由呢

dmlpopool 发表时间：2018-11-20

有，对端可以看到这边的数据过去

网络新人小白发表时间：2018-11-21

dis nat session 能看到报文出方向nat 转化和入方向nat 吗？

烟熏火腿发表时间：2018-11-21

[VPN_1000_S]dis nat session source global 192.168.10.2 系统没有NAT转换信息！

网络新人小白发表时间：2018-11-21

目前总共存在 1 条NAT转换信息: 协议外部地址端口内部地址端口目的地址端口 1 10.16.3.5 12288 192.168.10.2 1 10.192.23.21 1 VPN: 0, status: 20011, TTL: 00:01:00, Left: 00:00:59

网络新人小白发表时间：2018-11-21

dis nat session source 后面为什么要跟golbal啊，直接跟IP地址来看下nat session试试

dmlpopool 发表时间：2018-11-21

对端看到有数据包过来，那说明应该NAT成功了的（从配置看，NAT也配置正确的），那么对端有没有回包呢？如果是ping，那让对端设备debug ip icmp就可以看到是否回包了。

dmlpopool 发表时间：2018-11-21

[VPN_1000_S]dis nat session 目前总共存在 1 条NAT转换信息: 协议外部地址端口内部地址端口目的地址端口 1 10.16.3.5 12288 192.168.10.2 1 10.192.23.21 1 VPN: 0, status: 20011, TTL: 00:01:00, Left: 00:00:55

网络新人小白发表时间：2018-11-21

nat转换是OK的，从192.168.10.2 ping 10.192.23.21，那么10.192.23.21这个设备/主机，有没有回包呢？要查一下这对端啊

dmlpopool 发表时间：2018-11-21

2 个回答

按时间按赞数

烟熏火腿

烟熏火腿五段

粉丝：3人关注：1人

防火墙上

内网到外网的域间策略放通了没

display version 看到版本是多少啊

CPU type: Mips BCM1125H 600MHz 512M bytes DDR SDRAM Memory 16M bytes Flash Memory Pcb Version:3.0 Logic Version:2.0 BootROM Version:1.29 [SLOT 0] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0 [SLOT 1] 2GBE (Hardware)3.0, (Driver)2.0, (Cpld)2.0 [SLOT 2] NDEC (Hardware)3.0, (Driver)3.3, (Cpld)2.0

网络新人小白发表时间：2018-11-20

怎么做域间策略

网络新人小白发表时间：2018-11-20

display version 查看第一行不同平台版本命令不一样

烟熏火腿发表时间：2018-11-20

例： Comware Software, Version 5.20, Release 3347 这个就是V5 的R3347 版本确定一下版本发来看看

烟熏火腿发表时间：2018-11-20

H3C Comware Software Comware software, Version 3.40, Release 1662P07 Copyright (c) 2004-2010 Hangzhou H3C Technologies Co., Ltd. All rights reserved. Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.

网络新人小白发表时间：2018-11-20

v3 加入安全域就可以终端ping10.1 网关可达吗？终端ping 防火墙内网口外网口分别可达吗？

烟熏火腿发表时间：2018-11-20

都可以ping通，把哪个家到安全域里？

网络新人小白发表时间：2018-11-20

接口加安全域没问题，如果从防火墙本身ping 49 能通吗？

烟熏火腿发表时间：2018-11-20

可以的

网络新人小白发表时间：2018-11-20

不通

网络新人小白发表时间：2018-11-20

防火墙ping49是通的，客户端ping49是不通的

网络新人小白发表时间：2018-11-21

网络新人小白

网络新人小白知了小白

粉丝：0人关注：0人

[VPN_1000_S]dis nat session 目前总共存在 1 条NAT转换信息:

协议外部地址端口内部地址端口目的地址端口

1 10.16.3.5 12288 192.168.10.2 1 10.192.23.21 1

VPN: 0, status: 20011, TTL: 00:01:00, Left: 00:00:55

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

f1000防火墙

问题描述：

编辑答案

提出建议