• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

用公网地址访问

19小时前提问
  • 0关注
  • 0收藏,51浏览
粉丝:1人 关注:11人

问题描述:

防火墙有多个出口其中一个做了端口映射,配置了PBR,外部访问时正常是,内部用公网地址访问不通,防火墙下行口开了nat hairpin 也不行

5 个回答
粉丝:12人 关注:9人

排查步骤及命令:
1. 检查NAT hairpin配置是否正确:
确认下行接口已开启hairpin:display current-configuration interface [下行接口名],查看是否有nat hairpin enable。
若未配置,执行:interface [下行接口名],nat hairpin enable。
2. 检查PBR策略是否影响内部访问:
查看PBR配置:display policy-based-route,确认策略是否仅针对外部流量,内部访问公网地址的流量是否被错误引导。
若PBR包含内部源地址,需调整策略,排除内部网段。
3. 检查NAT映射的回流路由:
确认内部访问公网地址时,流量经防火墙处理后能正确转发到内部服务器。可通过display nat session verbose查看会话是否建立,源地址是否为内部地址,目的地址是否转换为服务器私网地址。
4. 检查安全策略:
确认内部到公网地址的流量(实际为内部服务器)是否被安全策略允许:display security-policy,查看是否有允许内部网段到服务器私网地址的策略。
5. 测试流量路径:
在内部主机上ping公网地址,同时在防火墙上抓包:packet-capture interface [下行接口] source [内部主机IP] destination [公网地址],分析是否有回包。

暂无评论

粉丝:133人 关注:11人

感觉是pbr导致的

PBR排除下内网互访


暂无评论

粉丝:25人 关注:1人

你遇到的情况,最可能的原因是策略路由(PBR)与NAT回流(NAT Hairpin)功能发生了冲突

在H3C防火墙中,NAT Hairpin流量有时也会被策略路由匹配并强制转发到外部出口,导致流量“绕行”公网而无法在内部闭环,从而访问失败

📝 解决方案:调整策略路由

要解决这个问题,可以尝试以下两种方法:

方案一:修改策略路由,排除回流流量(推荐)

在策略路由的ACL中,添加规则拒绝(deny) 匹配“内网用户访问公网映射地址”的流量。

配置思路如下:

  1. 识别ACL:找到当前引用的策略路由ACL(例如 acl advanced 3000)。

  2. 添加Deny规则:在ACL中增加一条规则,拒绝源地址为内网用户网段、目的地址为服务器的公网映射地址的流量

    text
    # 例如:内网用户网段为 192.168.1.0/24,服务器公网映射地址为 1.2.3.4 acl advanced 3000 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 1.2.3.4 0 rule 10 permit ip # 原有的策略路由规则
  3. 应用并验证:应用配置后,这部分流量将不匹配策略路由,从而正常走路由表,让NAT Hairpin生效

方案二:使用双向NAT(备选)

如果因某些原因无法修改PBR,可以考虑在内网接口上配置双向NAT,手动实现“源”和“目的”地址的双重转换

  • 核心命令

    text
    interface GigabitEthernet 1/0/1 # 进入连接内网的接口 nat static outbound 内网用户IP 公网映射IP # 配置静态源NAT nat server protocol tcp global 公网映射IP 端口 inside 服务器内网IP 端口 # 配置目的NAT
  • 注意:此方案配置较复杂,需根据具体情况调整


🔍 其他排查要点

如果调整PBR后问题依旧,可以检查以下几点:

  1. 检查NAT Hairpin配置位置:确认nat hairpin enable命令是否配置在连接内网PC的接口(下行接口)上。

    text
    interface GigabitEthernet 1/0/1 port link-mode route ip address 192.168.1.1 255.255.255.0 nat hairpin enable # 关键配置
  2. 检查端口映射(NAT Server)配置:确认端口映射用的是nat server命令

    text
    interface GigabitEthernet 1/0/2 # 公网接口 nat server protocol tcp global 公网IP 端口 inside 服务器IP 端口

    注意:nat hairpin通常与nat server配合使用,而非nat static

  3. 检查安全策略:确保有安全策略允许内网用户所在安全域访问服务器所在安全域。可临时创建一条源any-目的any-动作允许的策略进行测试。

  4. 检查服务与端口

    • 确认服务器本身服务正常,本地防火墙未拦截。

    • 可尝试更换映射端口(如8080),排除端口被运营商封锁的可能。

  5. 检查多出口场景:如果防火墙有多个出口,确保nat hairpin流量不会因策略路由或其它选路原则被送至错误出口

暂无评论

粉丝:23人 关注:2人

多出口 F1000 内网用公网 IP 访问不通(已开 hairpin)完整根因 + 修复
一、核心矛盾:PBR 策略路由拦截回流流量(最高概率)
内网电脑访问公网 IP 服务器,报文属于Trust→Trust 回流流量,但你全局 PBR 匹配内网所有流量,强制把访问公网 IP 的报文扔去其他外网出口,导致 DNAT/hairpin 完全不触发,直接断连。
底层流程问题
内网 PC 发包:源 192.168.x.x → 目的公网 IP(映射服务器地址)
报文先进 PBR 匹配,命中全局内网 ACL,转发到其他出口;
报文走到其他外网口,没有配置对应 nat server,无法做 DNAT,会话失败。
二、分步排查 & 修复(按顺序操作)
1、修正 nat hairpin 配置位置(基础校验)
nat hairpin enable 必须配置在内网 Trust 接口,不能配在外网口
plaintext
# 内网下联接口(Trust域)
interface GigabitEthernet 1/0/1
nat hairpin enable

在外网口开启回流完全无效,是常见配置错误。
2、策略路由 PBR 隔离回流流量(核心解决办法)
步骤 1:创建 ACL,排除「访问映射公网服务器 IP」的流量不走 PBR
plaintext
acl number 3999
# 拒绝匹配:内网访问服务器公网IP,不进入PBR转发逻辑
rule deny destination 203.0.100.5 0 # 替换你的服务器公网IP
rule permit source any # 其余内网流量正常走策略路由出口

步骤 2:修改 PBR 调用 ACL 为 3999,让回流流量跳过 PBR
plaintext
policy-based-route multi_wan permit node 10
if-match acl 3999
apply output-interface GigabitEthernet 1/0/2 # 原出口

逻辑:内网访问服务器公网 IP 时,ACL deny,不匹配 PBR 节点,不走其他外网出口,在内网接口触发 hairpin 回流。
验证 PBR 是否生效
plaintext
display ip policy-based-route
display acl 3999

3、补充回流专用安全策略(Trust 同域放行)
hairpin 流量是内网→内网(Trust→Trust),默认安全策略阻断同域互访,必须放行:
plaintext
security-policy ip
rule name Trust-Loopback-Server
source-zone trust
destination-zone trust
destination-address 192.168.1.10 0 # 内网服务器私网IP
action permit

缺少这条策略,即使 NAT 转换成功,服务器回包也会被防火墙丢弃。
4、确认 nat server 绑定在正确出口(做映射的那条宽带接口)
plaintext
# 映射出口(Untrust接口,做端口映射的宽带)
interface GigabitEthernet 1/0/2
nat server protocol tcp global 203.0.100.5 80 inside 192.168.1.10 80
nat server enable

nat server 必须写在发布服务器的外网接口,其他出口无需配置。
5、排查黑洞路由干扰
NAT Server 会自动生成公网 IP 指向 NULL0 黑洞路由,不影响 hairpin;若手动添加静态路由指向其他出口,会覆盖回流转发,删除多余静态路由:
plaintext
undo ip route-static 203.0.100.5 255.255.255.255 GigabitEthernet 其他出口

三、完整测试验证命令
查看 NAT 会话,回流必须同时存在 DNAT+SNAT 转换
plaintext
display firewall session table destination 203.0.100.5

正常回流会话会同时转换源 IP、目的 IP;无会话 = PBR / 路由拦截。
2. 跟踪内网访问公网 IP 的转发路径
plaintext
tracert destination 203.0.100.5 source 192.168.1.100

第一跳直接到防火墙内网口:PBR 修复成功;
第一跳跳到其他外网出口:PBR 未排除回流流量,ACL 配置错误。
查看策略匹配计数
plaintext
display security-policy rule all | include Trust-Loopback-Server

四、最简总结故障点
最主要原因:全局 PBR 把内网访问服务器公网 IP 的流量转发到其他出口,跳过 hairpin 回流逻辑;
修复核心:ACL 排除服务器公网 IP,让回流流量不执行策略路由;
配套检查:内网口开启 hairpin、Trust 同域安全策略放行服务器、nat server 绑定发布外网口。

暂无评论

粉丝:6人 关注:1人

接口的源进源出配了吗,试试在pbr里把nat回流的流量排除掉试试

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明