某局点经过防火墙访问网站页面跳转失败问题处理

防火墙配置NAT，组网简化为如下：

浏览器---核心---防火墙---光猫---公网---

不涉及

防火墙多出口配置NAT，连接光猫。经过防火墙打开公积金界面显示异常。不经过该防火墙，从其他路径公网直接访问则无问题。

开始看到这个问题，判断可能是网站服务器对于请求的host有校验，类似于如下问题：

过防火墙做NAT之后Web页面无法登陆典型案例分析

问题排查一般要抓包看一下客户端和服务器的交互从而判断问题。于是让现场抓包确认，抓取NAT前后的报文，方式可以参考如下案例：

H3C防火墙Web界面抓包以及debug总结

从抓包可以看出，终端访问网页跳转的时候重新发起了一个连接请求，请求的目的端口为9445。如图所示：

但是，网站服务器直接回应RST，直接回应RST的原因一般为服务器未监听该端口，中间有其他设备代答，或者服务器拒绝访问。

因此判断问题可能与防火墙设备无关。

但是后续我观察抓包发现，前面正常打开网页的报文交互有对应NAT前后的报文：

但是跳转后的连接报文交互中并没有NAT后的报文交互。想到这我顿时明白了，前期让现场人员抓包的时候是基于第一个访问的会话写acl进行抓包的，因此可以抓到NAT前后的报文；但是后续跳转的访问应该是NAT后的地址变化了，导致设备上没有抓到NAT后的报文。

因此，问题的原因也水落石出。现场多出口的场景下，跳转链接进行第二次访问的时候NAT后的地址发生了变化，导致访问被服务器阻断。结合现场配置，发现配置了出链路负载，且调度算法为最小连接数。所以第二次跳转链接的访问被分配到其他链路。

更改链路组调度算法为源地址hash后，问题解决。