设备型号F1000-AI-65,版本CMW710-R8860P43
组网:
PC(10.1.1.1)----(20.1.1.1:80)FW----(30.1.1.1:8080)服务器
需求:
PC通过访问防火墙接口地址20.1.1.1:80,实现访问内网服务器30.1.1.1:8080的需求。客户在防火墙新建策略NAT实现nat server需求,为了减少配置工作量在高级设置中点击自动生成安全策略。
安全域、路由正常,按下面步骤新建策略后发现访问服务器失败。
1、确认web页面配置在命令行中的回显,如下:
#
object-group service 80
0 service tcp destination eq 80
#
#
nat global-policy
...
rule name GlobalPolicyRule_27
service 80
source-ip host 10.1.1.1
destination-ip host 20.1.1.1
action dnat ip-address 30.1.1.1 local-port 8080
#
#
security-policy ip
...
rule 6 name GlobalPolicyRule_27_SecPolicy
action pass
source-ip-host 10.1.1.1
destination-ip-host 30.1.1.1
service 80
#
2、参考案例https://zhiliao.h3c.com/Theme/details/184124,全局NAT先做目的NAT再进行安全策略的匹配,防火墙新建策略NAT,在高级设置中点击自动生成安全策略,自动生成的安全策略放通的对应源地址(10.1.1.1)和目的地址(30.1.1.1 )是正确的,但是放通的服务 service 80是nat转换之前的端口。
3、再返回去看web上面配置,勾选“自动生成安全策略”后,默认的服务就是目的nat转换前的服务 service 80。
由于目的NAT转换前后对应的端口不同,开启自动生成安全策略后生成的服务无法匹配,导致无对应放通策略。通过新建一个service 8080,然后在安全策略中指定后正常。
#
object-group service 8080
0 service tcp destination eq 8080
#
#
security-policy ip
...
rule 6 name GlobalPolicyRule_27_SecPolicy
action pass
source-ip-host 10.1.1.1
destination-ip-host 30.1.1.1
service 8080
#
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作