防火墙F1020配置NAT内部服务器问题
- 0关注
- 0收藏,441浏览
问题描述:
防火墙F1020配置NAT内部服务器,如果策略“使用当前接口的主IP地址作为内部服务器的外网地址”,则服务器无法访问。如果是指定非当前接口的IP地址作为外网地址,服务器是可以访问的。我现在要的是接口的IP地址作为外网地址,怎样配置才可以?
组网及组网描述:
http://202.1.1.99:8081 访问正常
http://202.1.1.98:8081 访问失败
############外网端口配置(外网IP已替换,请忽略IP前面的202.1.1)
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 202.1.1.98 255.255.255.248
nat outbound
nat server protocol tcp global 202.1.1.99 8081 inside 192.168.1.251 80
nat server protocol tcp global current-interface 8081 inside 192.168.1.251 80
#
############################# nat 信息
[H3C]dis nat all
NAT outbound information:
Totally 3 NAT outbound rules.
Interface: GigabitEthernet1/0/1
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
Interface: GigabitEthernet1/0/2
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
Interface: GigabitEthernet1/0/3
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT internal server information:
Totally 2 internal servers.
Interface: GigabitEthernet1/0/1
Protocol: 6(TCP)
Global IP/port: 202.1.1.99/8081
Local IP/port : 192.168.1.251/80
Config status : Active
Interface: GigabitEthernet1/0/1
Protocol: 6(TCP)
Global IP/port: 202.1.1.98/8081
Local IP/port : 192.168.1.251/80
Config status : Active
NAT logging:
Log enable : Enabled
Flow-begin : Enabled
Flow-end : Enabled
Flow-active : Disabled
Port-block-assign : Enabled
Port-block-withdraw : Enabled
Alarm : Enabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
###################
[H3C]dis version
H3C Comware Software, Version 7.1.064, Release 9323P2302
Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath F1020 uptime is 77 weeks, 0 days, 17 hours, 59 minutes
Last reboot reason: User reboot
Boot image: flash:/f1000fw-cmw710-boot-R9323P2302.bin
Boot image version: 7.1.064, Release 9323P2302
Compiled Dec 13 2018 16:00:00
System image: flash:/f1000fw-cmw710-system-R9323P2302.bin
System image version: 7.1.064, Release 9323P2302
Compiled Dec 13 2018 16:00:00
SLOT 1
CPU type: Multi-core CPU
DDR3 SDRAM Memory 2046M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 4.0
Basic BootWare Version: 2.00
Extend BootWare Version: 2.00
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0
- 2024-05-08提问
- 举报
-
(0)
最佳答案
检查一下是否是当前接口
202.1.1.98 这个有端口号的冲突呀!
98 这个地址已经有nat 了呀
ACL使用高级ACL 源目地址你自己根据实际情况写吧,写两条rule 源目是相反的
debug 排查方法
debug ip packet acl 命令产看正向报文是否到达防火墙
debug ip packet acl 可以看 prompt 信息 比如有路由黑洞,或者是没有路由
debugging security-policy packet ip acl , debugging aspf packet acl查看是否被策略阻断
debugging ip info acl 如果有丢吧,则打印丢包信息的具体模块,没有丢包不显示
debugging nat packet acl
- 2024-05-08回答
- 评论(14)
- 举报
-
(0)
202.1.1.98就是接口的IP,上网是正常的,应该不会冲突。
这是配上去的。我就是想用这个IP,但他就是不转换
ACL 中的目的地址是外网IP202.1.1.98还是内网地址192.168.1.251?
192.168.1.251
这款产品找不到debug命令!
如果使用“NAT快速配置”,里面的“转换方向”为“入方向”、“转换模式”为“目的地址转换”对吗?还有“报文匹配规则”又该如何写?
接口开启了NAT出方向动态转换,是否有影响?
麻烦看一下我最新发的防火墙会话信息,看能不能分析出原因来
您好,内网使用外网地址访问
需要在外网设备的内网接口配置nat hairpin
参考
inter g1/0/1
nat hairpin enable
- 2024-05-08回答
- 评论(5)
- 举报
-
(0)
两条配置是一样的,外网地址不同而已
是在外网访问。
是做了nat group?
没有,只是在“NAT--NAT内部服务器--策略配置”中配置了两条策略,一条外网地址是202.1.1.99,另一条是外网地址是202.1.1.98
那就是看你是不是配置错了
两条配置是一样的,外网地址不同而已
现在是用的哪个IP?
- 2024-05-08回答
- 评论(3)
- 举报
-
(0)
202.1.1.98是公网IP,我想用这个IP。
99不用的话,把99哪个删了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
看不出来