防火墙F1020配置NAT内部服务器,如果策略“使用当前接口的主IP地址作为内部服务器的外网地址”,则服务器无法访问。如果是指定非当前接口的IP地址作为外网地址,服务器是可以访问的。我现在要的是接口的IP地址作为外网地址,怎样配置才可以?
http://202.1.1.99:8081 访问正常
http://202.1.1.98:8081 访问失败
############外网端口配置(外网IP已替换,请忽略IP前面的202.1.1)
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 202.1.1.98 255.255.255.248
nat outbound
nat server protocol tcp global 202.1.1.99 8081 inside 192.168.1.251 80
nat server protocol tcp global current-interface 8081 inside 192.168.1.251 80
#
############################# nat 信息
[H3C]dis nat all
NAT outbound information:
Totally 3 NAT outbound rules.
Interface: GigabitEthernet1/0/1
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
Interface: GigabitEthernet1/0/2
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
Interface: GigabitEthernet1/0/3
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT internal server information:
Totally 2 internal servers.
Interface: GigabitEthernet1/0/1
Protocol: 6(TCP)
Global IP/port: 202.1.1.99/8081
Local IP/port : 192.168.1.251/80
Config status : Active
Interface: GigabitEthernet1/0/1
Protocol: 6(TCP)
Global IP/port: 202.1.1.98/8081
Local IP/port : 192.168.1.251/80
Config status : Active
NAT logging:
Log enable : Enabled
Flow-begin : Enabled
Flow-end : Enabled
Flow-active : Disabled
Port-block-assign : Enabled
Port-block-withdraw : Enabled
Alarm : Enabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
###################
[H3C]dis version
H3C Comware Software, Version 7.1.064, Release 9323P2302
Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F1020 uptime is 77 weeks, 0 days, 17 hours, 59 minutes
Last reboot reason: User reboot
Boot image: flash:/f1000fw-cmw710-boot-R9323P2302.bin
Boot image version: 7.1.064, Release 9323P2302
Compiled Dec 13 2018 16:00:00
System image: flash:/f1000fw-cmw710-system-R9323P2302.bin
System image version: 7.1.064, Release 9323P2302
Compiled Dec 13 2018 16:00:00
SLOT 1
CPU type: Multi-core CPU
DDR3 SDRAM Memory 2046M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 4.0
Basic BootWare Version: 2.00
Extend BootWare Version: 2.00
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0
(0)
最佳答案
检查一下是否是当前接口
202.1.1.98 这个有端口号的冲突呀!
98 这个地址已经有nat 了呀
ACL使用高级ACL 源目地址你自己根据实际情况写吧,写两条rule 源目是相反的
debug 排查方法
debug ip packet acl 命令产看正向报文是否到达防火墙
debug ip packet acl 可以看 prompt 信息 比如有路由黑洞,或者是没有路由
debugging security-policy packet ip acl , debugging aspf packet acl查看是否被策略阻断
debugging ip info acl 如果有丢吧,则打印丢包信息的具体模块,没有丢包不显示
debugging nat packet acl
(0)
202.1.1.98就是接口的IP,上网是正常的,应该不会冲突。
这是配上去的。我就是想用这个IP,但他就是不转换
ACL 中的目的地址是外网IP202.1.1.98还是内网地址192.168.1.251?
192.168.1.251
这款产品找不到debug命令!
如果使用“NAT快速配置”,里面的“转换方向”为“入方向”、“转换模式”为“目的地址转换”对吗?还有“报文匹配规则”又该如何写?
接口开启了NAT出方向动态转换,是否有影响?
麻烦看一下我最新发的防火墙会话信息,看能不能分析出原因来
您好,内网使用外网地址访问
需要在外网设备的内网接口配置nat hairpin
参考
inter g1/0/1
nat hairpin enable
(0)
两条配置是一样的,外网地址不同而已
是在外网访问。
是做了nat group?
没有,只是在“NAT--NAT内部服务器--策略配置”中配置了两条策略,一条外网地址是202.1.1.99,另一条是外网地址是202.1.1.98
那就是看你是不是配置错了
两条配置是一样的,外网地址不同而已
现在是用的哪个IP?
(0)
202.1.1.98是公网IP,我想用这个IP。
99不用的话,把99哪个删了
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
看不出来