F1000-AK135防火墙已可以正常上网,在端口映射时,我用30192映射到内网30192在内网测试端口映射是正常通信的,但外网测试无法通信,是怎么回事?如何排查解决?
(0)
最佳答案
(0)
F1000-AK135 DNAT 内网通、外网不通完整排查方案
核心现象解读
内网用公网 IP:30192 能正常连通服务器,说明:
NAT Server 映射规则语法没问题;
服务器端口 30192 正常监听、本机防火墙放行;
内网回流、回程路由、服务器网关正常。
外网不通全部集中在外网入站流量拦截、运营商限制、安全域策略、公网 IP 类型、多出口不对称路由五类问题,按顺序排查。
一、第一步:核查 NAT Server 标准配置(F1000-AK135 V7 规范)
正确配置示例(30192 端口)
plaintext
# 外网Untrust接口下配置nat server(必须在外网口,不能全局)
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 30192 inside 192.168.1.100 30192
# 全局上网easy nat(内网访问互联网)
nat outbound 2000
校验命令
plaintext
display nat server
核对三点:
协议是 TCP(30192 一般 TCP,UDP 业务要改成 udp);
global 公网 IP = 防火墙 WAN 口真实 IP,内外端口均 30192;
规则绑定在外网 Untrust 接口,不是内网口 / 全局。
二、最高频故障:缺少 Untrust→Trust 入站安全策略(90% 场景)
H3C V7 防火墙默认拒绝所有跨域入站流量,仅配 NAT 不代表放行流量。
1、新建放行规则(必配)
plaintext
system-view
security-policy ip
# 外网访问服务器30192放行
rule 0 name Untrust-To-Server-30192
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 255.255.255.255
service tcp destination-port eq 30192
action pass
# 内网访问互联网放行(原有全局上网策略)
rule 10 name Trust-To-Untrust
source-zone Trust
destination-zone Untrust
action pass
quit
快速验证方法
临时放开宽松策略测试外网,通了就是精准策略缺失:
plaintext
security-policy ip
rule 99 name Test-Any
source-zone any
destination-zone any
action pass
外网能访问后删除 rule99,保留精准端口规则。
策略匹配计数查看
plaintext
display security-policy ip rule all | include 30192
若 hit 计数始终为 0:流量没匹配到这条规则,地址 / 端口 / 域写错。
三、第二步:确认 WAN 口是公网独立 IP,非运营商 CGN 大内网
判断方法
防火墙查看 WAN 口 IP:display ip interface brief GigabitEthernet 1/0/0
手机 4G 访问***.***,对比出口 IP
两个 IP 不一致 = 运营商 CGNAT(多层 NAT),外网无法直接穿透,必须联系运营商改公网静态 IP;
IP 一致 = 真实公网 IP,排除运营商大内网问题。
四、第三步:运营商封禁 30192 端口 / 光猫二层拦截
更换端口测试:临时映射公网端口 50000→内网 30192,外网测试
plaintext
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 50000 inside 192.168.1.100 30192
外网 50000 能通 = 运营商封堵 30192,联系运营商放通端口。
2. 光猫模式核查:必须桥接模式,光猫不能做路由 / NAT,否则外网流量被光猫拦截,无法到达防火墙。
五、第四步:回程路由不对称(多出口 / 双宽带场景)
如果防火墙双 WAN 多线路:
外网请求从电信 WAN 口进,服务器回包从联通 WAN 口出,运营商丢弃源目不匹配报文。
解决:外网接口开启保持入站接口转发
plaintext
interface GigabitEthernet 1/0/0
nat hairpin enable
reverse-route permanent
reverse-route permanent 生成静态回程路由,强制回包从入站 WAN 口转发。
六、第五步:服务器侧底层校验(内网通不代表外网无拦截)
服务器默认网关必须是防火墙内网接口 IP(192.168.1.1),不能指向交换机 / 其他网关;
Windows 防火墙、第三方安全软件放行 30192 入站 TCP;
服务监听地址为0.0.0.0:30192,不能仅监听 127.0.0.1 或内网单 IP。
七、会话表抓包深度定位(终极排查)
1、查看外网访问是否生成 NAT 会话
外网手机 / 云服务器 telnet 公网 IP 30192,同时执行:
plaintext
display nat session table destination 192.168.1.100
无会话表:流量根本没进入防火墙,问题在运营商 / 光猫 / 安全策略拦截;
有会话、只有发起方 SYN 无回包 SYN-ACK:服务器防火墙拦截、回程路由错误。
2、接口抓包定位
plaintext
# 外网口抓入站流量
debugging packet interface GigabitEthernet 1/0/0 inbound
# 内网口抓服务器回包
debugging packet interface GigabitEthernet 1/0/1 outbound
看外网 SYN 是否到达内网服务器、有无 SYN-ACK 返回。
八、最简修复完整配置(直接复制替换)
plaintext
system-view
# 1、NAT端口映射(外网口)
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 30192 inside 192.168.1.100 30192
nat outbound 2000
reverse-route permanent
quit
# 2、安全策略放行外网入站30192
security-policy ip
rule 0 name Untrust-Server-30192
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 0
service tcp destination-port eq 30192
action pass
rule 10 name Trust-To-Internet
source-zone Trust
destination-zone Untrust
action pass
quit
# 3、内网开启回流(内网公网IP访问用)
interface GigabitEthernet 1/0/1
nat hairpin enable
quit
save force
故障优先级总结(按排查顺序)
缺少 Untrust→Trust 放行 30192 的安全策略(最高概率)
WAN 口为运营商 CGN 内网 IP,非独立公网
运营商屏蔽 30192 端口、光猫路由模式二次 NAT
多出口未配置 reverse-route 永久回程路由
服务器网关错误、本机防火墙拦截端口
nat server 配置在内网接口 / 全局,未绑定外网 Untrust 口
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
填私网地址