问

F100-C-G3服器映射

2023-09-05提问

0关注
0收藏，526浏览

zhiliao_U3Pkbx

zhiliao_U3Pkbx 零段

粉丝：0人关注：0人

问题描述：

服务器映射弄死不生效，求大神指点。配置如下:

nterface GigabitEthernet1/0/11

port link-mode route

ip address 175.154.112.54 255.255.255.0

ip last-hop hold

nat outbound 3000

nat server protocol tcp global 175.154.112.54 443 inside 10.100.11.11 443 rule ServerRule_17 description test

security-zone name Untrust

import interface Dialer1

import interface GigabitEthernet1/0/11

security-zone name Trust

import interface GigabitEthernet1/0/4

acl advanced 3000

rule 5 permit ip source 10.100.0.0 0.0.255.255

security-policy ip

rule 112 name ESXI

action pass

counting enable

source-zone Untrust

destination-zone Trust

destination-ip-host 10.100.11.11

service-port tcp source eq 443 destination eq 443

内网可175.154.112.54 443可访问，外网175.154.112.54 443弄死访问不了。

组网及组网描述：

最佳答案

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：237人关注：8人

外网换一个端口别用443，运营商基本都会封堵443d

那debug看下吧

zhiliao_sEUyB 发表时间：2023-09-05 更多>>

换过了没用才换回来443的

zhiliao_U3Pkbx 发表时间：2023-09-05

别用443测试，换个公共端口测试

zhiliao_sEUyB 发表时间：2023-09-05

也不行的话就得debug看下了

zhiliao_sEUyB 发表时间：2023-09-05

nat server protocol tcp global 175.154.112.54 50001 inside 10.100.11.11 443 rule ServerRule_17 service-port tcp source eq 50001 destination eq 443 改成这样了还是不行

zhiliao_U3Pkbx 发表时间：2023-09-05

安全策略全放一下试试

zhiliao_sEUyB 发表时间：2023-09-05

这不敢全放啊，运营中呢

zhiliao_U3Pkbx 发表时间：2023-09-05

那debug看下吧

zhiliao_sEUyB 发表时间：2023-09-05

4 个回答

按时间按赞数

Xcheng

Xcheng 九段

粉丝：121人关注：3人

检查下默认路由情况和是否有找运营商备案吧

或者有条件建议尝试

1、修改默认路由为静态ip地址出口

2、修改外网映射端口，如443改为5443

如果以上2个任意一个正常，则说明对应问题配置或流程不对。

如果修改端口正常，说明没找ISP备案导致。需要备案或者修改端口号来解决。

回复zhiliao_U3Pkbx:

nat没问题。策略在根据组网在确认下吧，不行就debug或者看session情况吧

Xcheng 发表时间：2023-09-05 更多>>

nat server protocol tcp global 175.154.112.54 50001 inside 10.100.11.11 443 rule ServerRule_17 service-port tcp source eq 50001 destination eq 443 改这样一样不行哈

zhiliao_U3Pkbx 发表时间：2023-09-05

回复zhiliao_U3Pkbx:

nat没问题。策略在根据组网在确认下吧，不行就debug或者看session情况吧

Xcheng 发表时间：2023-09-05

zhiliao_h907dg

zhiliao_h907dg 九段

粉丝：57人关注：2人

如果没有特殊要求必须使用443 的话就换一个端口号

如果必须使用443 那么去做IP备案吧，备案后运营商才能放开443 端口

这样写了一样没生效

zhiliao_U3Pkbx 发表时间：2023-09-05 更多>>

nat server protocol tcp global 175.154.112.54 50001 inside 10.100.11.11 443 rule ServerRule_17 service-port tcp source eq 50001 destination eq 443 改了没成功

zhiliao_U3Pkbx 发表时间：2023-09-05

回复zhiliao_U3Pkbx:

source eq 50001 50001 改成any 试试

zhiliao_h907dg 发表时间：2023-09-05

service-port tcp destination eq 443 这样写是吗 eq后跟不了any

zhiliao_U3Pkbx 发表时间：2023-09-05

这样写了一样没生效

zhiliao_U3Pkbx 发表时间：2023-09-05