乾貨 | USG配置埠映射圖解&映射不通的排查

微笑橙子mr 發佈 2022-10-02T13:30:34.900163+00:00

a) 在防火牆上ping –a 外網口ip 伺服器內部ip,看是否能ping通,如ping -a 100.1.1.1 192.168.1.20。

內容來源:華為文檔。

埠映射(兩步走)

1、允許外網流量到達內網,配置安全策略

此處以USG2000&5000 V300R001C10作為示例,其他在菜單上有變化。

此處檢查untrust-->trust默認動作是否為permit

如為permit,可跳過此步,直接配置埠映射

非permit狀態可以右側編輯為permit 或者保留deny,見第二圖新建轉發策略

USG2000&5000:防火牆 > 安全策略 > 轉發策略

USG6000:策略 > 安全策略

2、配置埠映射

此處以USG2000&5000 V300R001C10作為示例,其他版本在菜單上有變化。

V300R001C00:防火牆-->NAT-->虛擬伺服器

USG6000:策略 > NAT策略 > 伺服器映射

故障處理:映射不通

做完配置後不能通,與伺服器或網絡環境有關:

  • 請使用http://tool.chinaz.com/port 來檢測埠開放(僅支持TCP),不要使用同一個內網來測試(要額外做配置)

    • a. 是否有多網卡,有沒有配網關,防火牆有沒關閉
    • b. 服務是否正常運行,服務的埠是否與映射的內部埠相同
  • 內網伺服器:

  • 外部埠是否是80,這個埠容易被封

  • 中間是否還有上網行為管理設備

1、檢查安全策略,是否允許公網主動進入

2、查看會話表來判斷問題點

  • a) 打開埠掃描工具:http://tool.chinaz.com/port,填寫外部IP和外部埠,點「查詢」,或者有人配合從公網上來測試
  • b) 同時在防火牆上查看會話表:
display firewall session table verbose destination inside 192.168.1.20 destination-port 8080
  • c) 用命令行方式查看,能看到來回的數據包個數

(舉例)

<-- packets 表示進入的數據包

--> packets 表示發出的數據包

  • d) 一定要同時進行,會話最長只有20秒

3. 如果沒有產生會話,而操作是正確的,公網沒有轉發過來。

<-- packets的值為0

  • a)尤其是80等常用埠會被運營商封閉
  • b)嘗試把映射的外部埠改成大埠,如12000,轉發策略同步修改。如能測試通,表明埠被封,聯繫運營商申請,或改用其他外部埠
  • c)可聯繫運營商幫忙排查

4. 如果有會話產生,但沒有回包

--> packets的值為0

  • a) 在防火牆上ping –a 外網口ip 伺服器內部ip,看是否能ping通,如ping -a 100.1.1.1 192.168.1.20

也可在系統->維護->診斷中心-->ping中操作

如果ping不通,那不填「報文源地址」,再測試能否ping通。

  • b) 在內網測試業務埠是否正常,最好能跨網段測試。可能性:伺服器雙網卡或誤配/少配默認路由
  • c) 檢查伺服器對訪問者ip是否有安全策略,請聯繫伺服器管理員確認
  • d) 如果內網中有三層設備,檢查路由
  • e) 如果內網中有上網行為管理,嘗試去掉測試或修改策略
關鍵字: