问题描述:
nat server protocol tcp global 111.117.230.5 21 inside 192.168.100.13 21
rule 54 name soar-15
action pass
source-zone Untrust
destination-zone Trust
destination-ip 192.168.100.10
service ftp
debugging security-policy 显示被拒绝
F5000-FW FILTER/7/PACKET: -COntext=1; The packet is denied. Src-ZOne=Untrust, Dst-ZOne=Trust;If-In=Vlan-interface500(151), If-Out=Ten-GigabitEthernet1/1/0(5); Packet Info:Src-IP=111.117.230.5, Dst-IP=192.168.100.10, VPN-Instance=,Src-Port=27564, Dst-Port=21, Protocol=TCP(6), Application=ftp(11), ACL=none, Rule-ID=none.
组网及组网描述:
- 2021-10-20提问
- 举报
-
(0)
最佳答案
F5000-FW FILTER/7/PACKET: -COntext=1; The packet is denied. Src-ZOne=Untrust, Dst-ZOne=Trust;If-In=Vlan-interface500(151), If-Out=Ten-GigabitEthernet1/1/0(5); Packet Info:Src-IP=111.117.230.5, Dst-IP=192.168.100.10, VPN-Instance=,Src-Port=27564, Dst-Port=21, Protocol=TCP(6), Application=ftp(11), ACL=none, Rule-ID=none.
这个debug信息的源地址是nat server的global地址,这种访问是也不对
另外Rule-ID=none.这里是0,说明也不是被安全策略丢弃的,可能有域间策略
还有就是这个地址下面可能没有地址
192.168.100.10
- 2021-10-20回答
- 评论(1)
- 举报
-
(0)
nat server protocol tcp global 111.117.230.5 21 inside 192.168.100.13 21
到底是192.168.100.13 还是 192.168.100.10
映射写的13,安全策略写的10。
- 2021-10-20回答
- 评论(1)
- 举报
-
(0)
ip写错了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
不好意思,我把ip特意替换了一下,nat servers ip和源ip是不一样的。没发现有域间策略,alg ftp也是开的,rule-id=none 策略没拦 但就是没找到不通的原因