• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙F1020配置NAT内部服务器问题

2024-05-08提问
  • 0关注
  • 0收藏,441浏览
粉丝:0人 关注:0人

问题描述:

防火墙F1020配置NAT内部服务器,如果策略“使用当前接口的主IP地址作为内部服务器的外网地址”,则服务器无法访问。如果是指定非当前接口的IP地址作为外网地址,服务器是可以访问的。我现在要的是接口的IP地址作为外网地址,怎样配置才可以?

 

组网及组网描述:

http://202.1.1.99:8081 访问正常

http://202.1.1.98:8081 访问失败

 

############外网端口配置(外网IP已替换,请忽略IP前面的202.1.1)

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 202.1.1.98 255.255.255.248

 nat outbound

 nat server protocol tcp global 202.1.1.99 8081 inside 192.168.1.251 80

 nat server protocol tcp global current-interface 8081 inside 192.168.1.251 80

#

 

 

#############################  nat 信息

[H3C]dis nat all

NAT outbound information:

  Totally 3 NAT outbound rules.

  Interface: GigabitEthernet1/0/1

    ACL: ---

    Address group ID: ---    

    Port-preserved: N        NO-PAT: N  Reversible: N

    Config status: Active

 

  Interface: GigabitEthernet1/0/2

    ACL: ---

    Address group ID: ---    

    Port-preserved: N        NO-PAT: N  Reversible: N

    Config status: Inactive

    Reasons for inactive status:

      The following items don't exist or aren't effective: interface IP address.

 

  Interface: GigabitEthernet1/0/3

    ACL: ---

    Address group ID: ---    

    Port-preserved: N        NO-PAT: N  Reversible: N

    Config status: Active

 

NAT internal server information:

  Totally 2 internal servers.

  Interface: GigabitEthernet1/0/1

    Protocol: 6(TCP)

    Global IP/port: 202.1.1.99/8081

    Local IP/port : 192.168.1.251/80

    Config status : Active

 

  Interface: GigabitEthernet1/0/1

    Protocol: 6(TCP)

    Global IP/port: 202.1.1.98/8081

    Local IP/port : 192.168.1.251/80

    Config status : Active

 

NAT logging:

  Log enable          : Enabled

  Flow-begin          : Enabled

  Flow-end            : Enabled

  Flow-active         : Disabled

  Port-block-assign   : Enabled

  Port-block-withdraw : Enabled

  Alarm               : Enabled

 

NAT mapping behavior:

  Mapping mode : Address and Port-Dependent

  ACL          : ---

  Config status: Active

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Disabled

  ICMP-ERROR : Enabled

  ILS        : Disabled

  MGCP       : Disabled

  NBT        : Disabled

  PPTP       : Enabled

  RTSP       : Enabled

  RSH        : Disabled

  SCCP       : Disabled

  SIP        : Disabled

  SQLNET     : Disabled

  TFTP       : Disabled

  XDMCP      : Disabled

 

Static NAT load balancing:     Disabled

 

###################

[H3C]dis version

H3C Comware Software, Version 7.1.064, Release 9323P2302

Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecPath F1020 uptime is 77 weeks, 0 days, 17 hours, 59 minutes

Last reboot reason: User reboot

 

Boot image: flash:/f1000fw-cmw710-boot-R9323P2302.bin

Boot image version: 7.1.064, Release 9323P2302

  Compiled Dec 13 2018 16:00:00

System image: flash:/f1000fw-cmw710-system-R9323P2302.bin

System image version: 7.1.064, Release 9323P2302

  Compiled Dec 13 2018 16:00:00

 

SLOT 1

CPU type: Multi-core CPU

DDR3 SDRAM Memory      2046M bytes 

Board PCB        Version:Ver.A

CPLD_A           Version:  2.0

CPLD_B           Version:  4.0

Basic  BootWare  Version: 2.00

Extend BootWare  Version: 2.00

Board PFC        Version:Ver.A

NandFlash PCB    Version:Ver.A

[SubSlot 0]16GE+8SFP  (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0

最佳答案

粉丝:57人 关注:2人

检查一下是否是当前接口 202.1.1.98 这个有端口号的冲突呀!

98 这个地址已经有nat 了呀

ACL使用高级ACL   源目地址你自己根据实际情况写吧,写两条rule   源目是相反的

debug 排查方法

debug ip packet acl 命令产看正向报文是否到达防火墙 

debug ip packet acl 可以看 prompt 信息 比如有路由黑洞,或者是没有路由 

debugging security-policy packet ip acl , debugging aspf packet acl查看是否被策略阻断 

debugging ip info acl 如果有丢吧,则打印丢包信息的具体模块,没有丢包不显示

debugging nat packet acl

看不出来

zhiliao_h907dg 发表时间:2024-05-08 更多>>

202.1.1.98就是接口的IP,上网是正常的,应该不会冲突。

zhiliao_Od91nx 发表时间:2024-05-08

这是配上去的。我就是想用这个IP,但他就是不转换

zhiliao_Od91nx 发表时间:2024-05-08

debug 看一下吧,看一下是否有策略阻断阻断了

zhiliao_h907dg 发表时间:2024-05-08

debug怎么做?不懂。有没有手册?

zhiliao_Od91nx 发表时间:2024-05-08

补充了一下 ,没有完全符合的手册,补充的都是根据平时实际排错用到的

zhiliao_h907dg 发表时间:2024-05-08

ACL 中的目的地址是外网IP202.1.1.98还是内网地址192.168.1.251?

zhiliao_Od91nx 发表时间:2024-05-08

192.168.1.251

zhiliao_h907dg 发表时间:2024-05-08

这款产品找不到debug命令!

zhiliao_Od91nx 发表时间:2024-05-08

那不能。都有<> 这个模式下

zhiliao_h907dg 发表时间:2024-05-08

如果使用“NAT快速配置”,里面的“转换方向”为“入方向”、“转换模式”为“目的地址转换”对吗?还有“报文匹配规则”又该如何写?

zhiliao_Od91nx 发表时间:2024-05-08

快速配置没用过呀

zhiliao_h907dg 发表时间:2024-05-08

接口开启了NAT出方向动态转换,是否有影响?

zhiliao_Od91nx 发表时间:2024-05-08

麻烦看一下我最新发的防火墙会话信息,看能不能分析出原因来

zhiliao_Od91nx 发表时间:2024-05-08

看不出来

zhiliao_h907dg 发表时间:2024-05-08
3 个回答
粉丝:249人 关注:0人

您好,内网使用外网地址访问

需要在外网设备的内网接口配置nat hairpin

参考

inter g1/0/1

nat hairpin enable

两条配置是一样的,外网地址不同而已

zhiliao_Od91nx 发表时间:2024-05-08 更多>>

是在外网访问。

zhiliao_Od91nx 发表时间:2024-05-08

是做了nat group?

无名之辈 发表时间:2024-05-08

没有,只是在“NAT--NAT内部服务器--策略配置”中配置了两条策略,一条外网地址是202.1.1.99,另一条是外网地址是202.1.1.98

zhiliao_Od91nx 发表时间:2024-05-08

那就是看你是不是配置错了

无名之辈 发表时间:2024-05-08

两条配置是一样的,外网地址不同而已

zhiliao_Od91nx 发表时间:2024-05-08
粉丝:228人 关注:8人

现在是用的哪个IP? 

回复zhiliao_sEUyB:

删了99,98还是不能用

zhiliao_Od91nx 发表时间:2024-05-08 更多>>

202.1.1.98是公网IP,我想用这个IP。

zhiliao_Od91nx 发表时间:2024-05-08

99不用的话,把99哪个删了

zhiliao_sEUyB 发表时间:2024-05-08
回复zhiliao_sEUyB:

删了99,98还是不能用

zhiliao_Od91nx 发表时间:2024-05-08
zhiliao_Od91nx 知了小白
粉丝:0人 关注:0人

以下是两条防火墙会话信息,看起来就不一样。麻烦分析一下是什么原因。另外安全策略poli排在policy4前面。

1、


2、


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明