问题描述:
使用H3C M9000做NAT地址和端口转换。
问题是:
1,防火墙做了NAT地址和443端口转换之后,只有ip:443 -> ip:443的这种不转换443端口的方式可以访问成功,而ip:9443 -> ip:443这种转换了443端口的方式则不能成功。具体是:
https://10.10.10.6:443 #可以成功打开Server A的https页面
https://10.10.10.6:9443 #无法打开Server B的https页面
请协助判断问题出在哪里?
组网及组网描述:
组网需求是:
1,PC 1能打开server A和server B的https页面;
2,Server A和Server B开放https服务(端口443)。
网络拓扑图如下:
防火墙的相关配置如下:
#
security-zone intra-zone default permit
#
system-working-mode standard
password-recovery enable
#
vlan 1
#
interface NULL0
#
interface M-GigabitEthernet1/0/0/0
ip binding vpn-instance management
ip address 192.168.0.1 255.255.255.0
#
interface Ten-GigabitEthernet2/5/0/1
port link-mode route
ip address 10.10.10.115 255.255.255.0
nat outbound 3997 address-group 1 port-preserved
nat server protocol tcp global 10.10.10.6 22 inside 192.168.1.1 22
nat server protocol tcp global 10.10.10.6 222 inside 192.168.1.2 22
nat server protocol tcp global 10.10.10.6 443 inside 192.168.1.253 443
nat server protocol tcp global 10.10.10.6 9443 inside 192.168.1.252 443
nat static enable
#
interface Ten-GigabitEthernet2/5/0/2
port link-mode route
ip address 192.168.1.254 255.255.255.0
#
security-zone name Local
#
security-zone name Trust
import interface Ten-GigabitEthernet2/5/0/2
#
security-zone name DMZ
#
security-zone name Untrust
import interface Ten-GigabitEthernet2/5/0/1
#
security-zone name Management
import interface M-GigabitEthernet1/0/0/0
#
zone-pair security source DMZ destination Trust
#
zone-pair security source Local destination Trust
packet-filter 3998
#
zone-pair security source Local destination Untrust
packet-filter 3998
#
zone-pair security source Trust destination DMZ
#
zone-pair security source Trust destination Local
packet-filter 3998
#
zone-pair security source Trust destination Untrust
packet-filter 3997
#
zone-pair security source Untrust destination Local
packet-filter 3999
#
zone-pair security source Untrust destination Trust
packet-filter 3001
#
scheduler logfile size 16
#
ip route-static 0.0.0.0 0 10.10.10.254
#
ssh server enable
undo ssh server compatible-ssh1x enable
#
acl number 3001
rule 0 permit ip
#
acl number 3997
rule 0 permit ip
#
acl number 3998
rule 1 permit ip
#
acl number 3999
rule 0 permit ip
#
domain system
#
domain default enable system
#
user-group system
#
nat address-group 1
address 10.10.10.115 10.10.10.115
#
ip https enable
- 2018-10-30提问
- 举报
-
(0)
最佳答案
可以查看会话状态,通过debug(debug ip packet 或者 debug aspf等)查看,为什么会出现异常,会有相关故障信息,如果仍然找不到原因可以收集相关信息,联系华三工程师处理
- 2018-10-30回答
- 评论(1)
- 举报
-
(0)
所有配置都贴出来了,能不能提供专业的可行的解决方案?而不是应付式的。
所有配置都贴出来了,能不能提供专业的可行的解决方案?而不是应付式的。
- 2018-10-30回答
- 评论(3)
- 举报
-
(0)
我本打算所有新项目都采购华三防火墙的,因为华三的文档还是比较全,但就这一次就让我怕了。其它配置都好好的,一个443转换就是通不过,整个项目进度也受影响。
首先并没有应付,而且并不是你将配置贴出来了别人就能够看出问题,工程师排错需要一些会话状态,debug信息来确认故障点
那你要什么信息,把命令发给我,我贴上去执行,免得我按照自己的理解收集的信息,你又告诉我说不是,避免来回折腾数次。 是连续执行这些命令吗: <H3C>debugging ip packet <H3C> terminal monitor <H3C> terminal debugging
我本打算所有新项目都采购华三防火墙的,因为华三的文档还是比较全,但就这一次就让我怕了。其它配置都好好的,一个443转换就是通不过,整个项目进度也受影响。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
所有配置都贴出来了,能不能提供专业的可行的解决方案?而不是应付式的。