针对于外网访问内网服务器两次NAT映射问题
- 1关注
- 1收藏,1031浏览
问题描述:
针对于外网访问内网服务器两次NAT映射问题。 先对现场情况做一下简单说明:客户在内网有一台FTP服务器需要让外网访问,FTP服务器模式为被动模式,使用vsFTP。但该服务器到外网经过了两台防火墙,第一台为天融信防火墙,第二台为H3C防火墙,两台防火墙NAT映射均已配置。目前有一台PC在天融信防火墙和H3C防火墙之间,该PC通过天融信映射的IP和端口号可以正常访问FTP服务器并传输文件。本人远程通过telnet 公网IP+映射端口后出现:220 (vsFTPd 3.0.5)字样,说明目前映射配置没问题。但是外网PC通过资源管理器FTP连接服务器会出现报错,错误:200switching to ASCLL mode,500Illegal PORT command,500UNknown command。请问:H3C防火墙除了做NAT映射之外还需要怎么配置(ALG等),或者说网络配置正常,问题由服务器配置导致?
- 2024-01-19提问
- 举报
-
(0)
根据您的问题描述,您可能遇到了两次NAT的问题。两次NAT是指在内外网之间存在两个或多个NAT设备,导致报文在传输过程中经过两次或多次地址转换,从而影响网络通信的正常进行1。两次NAT的问题通常可以通过以下几种方法解决:
- 配置NAT ALG(Application Layer Gateway)功能,使NAT设备能够识别并修改应用层协议中的IP地址和端口信息,以保证NAT转换后的报文能够正确传输2。对于FTP协议,您需要在H3C防火墙上配置FTP ALG功能,使其能够处理FTP报文中的PASV和PORT命令,以及数据连接的建立3。
- 配置NAT Server功能,使外网主机能够通过指定的公网IP地址和端口号访问内网服务器,从而避免两次NAT的影响4。您需要在H3C防火墙上配置NAT Server功能,将内网FTP服务器的私网IP地址和端口号映射到一个公网IP地址和端口号,然后让外网PC通过该公网IP地址和端口号访问FTP服务器5。
- 配置两次NAT功能,使内外网之间的NAT设备能够协同工作,实现一次地址转换的效果6。您需要在H3C防火墙上配置两次NAT功能,将天融信防火墙映射的公网IP地址和端口号再次映射到内网FTP服务器的私网IP地址和端口号,从而消除两次NAT的影响。
6: 两次NAT - 华为 : [配置两次NAT - H3C]
- 2024-01-19回答
- 评论(0)
- 举报
-
(0)
暂无评论
您可能遇到了NAT回流或者说域内NAT的问题。这是指内网用户通过外网IP访问内网服务器时,由于NAT设备的转换规则不匹配,导致报文无法正确转发的现象。一般来说,有以下几种可能的原因和解决办法:
1. 外网PC的FTP客户端使用了主动模式,而内网服务器的FTP服务端使用了被动模式,导致端口号不一致。这种情况下,您可以尝试将FTP客户端和服务端都设置为被动模式,或者在H3C防火墙上开启FTP ALG(Application Layer Gateway)功能,以便动态地修改FTP报文中的端口号。
2. 外网PC的FTP客户端使用了ASCLL模式,而内网服务器的FTP服务端不支持该模式,导致命令无法识别。这种情况下,您可以尝试将FTP客户端设置为二进制模式,或者在FTP服务端配置支持ASCLL模式。
3. H3C防火墙的NAT映射规则不完整或不正确,导致外网PC无法访问内网服务器的数据端口。这种情况下,您可以检查H3C防火墙的NAT配置,确保外网PC的源IP和目的IP都能正确地转换为内网服务器的源IP和目的IP,以及FTP服务端的控制端口和数据端口都能正确地映射到外网IP的相应端口。
- 2024-01-20回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论