防火墙
- 0关注
- 1收藏,1281浏览
问题描述:
F1000-AK1140防火墙作为出口,内部监控的5010端口映射为17330,与上级监控平台5060通,现在上级抓包说防火墙回复端口是44728,是什么原因?
组网及组网描述:
- 2022-01-12提问
- 举报
-
(0)
最佳答案
可以看下会话,如果是正向nat server不会出现转成其他端口的情况
- 2022-01-12回答
- 评论(4)
- 举报
-
(0)
看什么会话呢?本端就是做了一个服务器映射
最开始我是做的把本端5010映射成5010,对端发过来图片红框位置是17330,然后我就把5010改成17330后正常了,用了一段时间就变成了47728了
刚注意到是sip,nat server后边加上reversible试下
nat server protocol udp global 124.67.106.86 17330 inside 192.168.5.9 5010 reversible 我加上以后会话显示是 [H3C-F1000-AK1140]display nat session source-ip 192.168.5.9 verbose Slot 1: Initiator: Source IP/port: 192.168.5.9/5010 Destination IP/port: 139.9.114.105/5060 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/9 Source security zone: Trust Responder: Source IP/port: 139.9.114.105/5060 Destination IP/port: 124.67.106.86/5010 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/3 Source security zone: Untrust 但还是不通,又改成 nat server protocol udp global 124.67.106.86 5010 inside 192.168.5.9 5010 reversible 就可以了
对面访问端口错误,对端访问的是您这边的5060 而不是17330。
如果对端平台访问的是5060 ,那么您这边的映射也需要修改成5060.
- 2022-01-12回答
- 评论(1)
- 举报
-
(0)
124这个地址是本端的,对端是5060,选的这个是本端给对端回复的吧?
124这个地址是本端的,对端是5060,选的这个是本端给对端回复的吧?
我看到有个nat outbound 3000,是不是里面包含了192.168.5.9?
如果不想这个端口变化,应该在acl里单独把这个ip地址deny掉,或者更精确一些只把那个端口deny掉,否则回包会在出方向被nat导致源端口被转换。之后保证两边路由可达就行。
- 2022-01-12回答
- 评论(1)
- 举报
-
(0)
是呢,3000里是any,那我应该怎么配呢?求指教
是呢,3000里是any,那我应该怎么配呢?求指教
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
nat server protocol udp global 124.67.106.86 17330 inside 192.168.5.9 5010 reversible 我加上以后会话显示是 [H3C-F1000-AK1140]display nat session source-ip 192.168.5.9 verbose Slot 1: Initiator: Source IP/port: 192.168.5.9/5010 Destination IP/port: 139.9.114.105/5060 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/9 Source security zone: Trust Responder: Source IP/port: 139.9.114.105/5060 Destination IP/port: 124.67.106.86/5010 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/3 Source security zone: Untrust 但还是不通,又改成 nat server protocol udp global 124.67.106.86 5010 inside 192.168.5.9 5010 reversible 就可以了