F100-M-G5，防火墙公网收到UDP包，内网收不到

检查下有没有做限制

没做限制的话抓包分析

看看策略，或者直接策略改成any再看一下

 抓包定位（一秒锁定）
外网口抓包：能抓到 UDP ↓ 说明运营商报文正常
内网口抓包：无 UDP = 防火墙没转发
原因：策略拒绝、NAT 无效、会话老化过快、严格会话过滤
 常见隐性问题
防火墙会话严格模式：只允许内网主动发起 UDP 回包，禁止公网主动 UDP 入站
服务器本地防火墙 / 系统策略拦截 UDP
防火墙 ARP 学习不到内网服务器，转发丢包
plaintext
display arp | include 服务器IP
最简解决顺序（现场直接操作）
补全 NAT server UDP 端口映射
安全策略新增一条：Untrust→Trust 目的服务器 IP 全 UDP 放行
开启 UDP ALG
看会话表是否生成，无会话就是策略拦截

排查这个问题时，请记住H3C防火墙的核心转发逻辑：数据包必须同时匹配会话表和安全策略，两者缺一不可。建议你在本地Web界面按以下思路一步步排查：

 第一步：查看会话表，确认数据流转阶段

首先明确UDP包的处理状态。在设备命令行（CLI）执行：

 第二步：确认关键业务路径与策略放行【高效排查法】

这是最核心的检查环节，因为安全策略通常是最易配置出错的地方：

• 明确业务路径：假设来自互联网IP-A的UDP包，目标是服务器IP-B的特定端口。防火墙的处理流程会涉及Untrust -> Trust区域间的多条策略。

• 策略放行：【VIP关键检查点】 重点检查 Untrust → Trust 方向的安全策略是否允许了源IP IP-A到目的IP IP-B 及目的端口的流量。同时，如果业务需要回包，还需检查 Trust → Untrust 方向的策略是否也放行。检查配置时，可以留意是否已放通DHCP等UDP业务的67、68端口作为参考。

 第三步：怀疑对象——应用层协议检测

对于特定UDP应用，防火墙的ASPF可能会影响报文处理。检查ASPF配置，确保已正确放行相关应用：

 第四步：检查会话日志与攻击防范触发

• 开启会话日志：在Web界面的 系统 > 日志设置 > 会话日志设置，对Untrust区域接口勾选会话创建与删除日志，这样能帮助定位丢包点。

• 检查攻击防范：查看是否因攻击防范触发了UDP Flood规则而导致丢包：

  display attack-defense statistics

 第五步：对可疑IP进行抓包（终极手段）

如果在防火墙上用debugging udp packet（仅在低负载时谨慎使用）排查不到进展，建议部署Wireshark进行抓包，确认公网源的数据流最终是否到达了内网服务器。

 其他潜在排查点

如果上述步骤依然没有解决问题，还可以从以下几个方面进行排查：

• 网段组网和路由排查：检查交换机侧是否正确配置了VLAN和Trunk，确保路由指向正确，避免因网络环路或MAC漂移导致丢包。

• 检查NAT回流问题：若是内网用户通过公网IP访问内网服务器的NAT回流场景，需检查服务器的回程路由是否正确指向防火墙，以及防火墙上是否配置了源NAT策略使回包能再次经过防火墙。

• 检查“环流”问题：在某些场景下，公网访问内网服务器后，内网服务器可能会直接通过交换机回应公网，导致防火墙会话表状态错误。可临时在防火墙上配置NAT回流（源NAT）解决。