內容來源:華為文檔。
埠映射(兩步走)
1、允許外網流量到達內網,配置安全策略
此處以USG2000&5000 V300R001C10作為示例,其他在菜單上有變化。
此處檢查untrust-->trust默認動作是否為permit
如為permit,可跳過此步,直接配置埠映射
非permit狀態可以右側編輯為permit 或者保留deny,見第二圖新建轉發策略
USG2000&5000:防火牆 > 安全策略 > 轉發策略
USG6000:策略 > 安全策略
2、配置埠映射
此處以USG2000&5000 V300R001C10作為示例,其他版本在菜單上有變化。
V300R001C00:防火牆-->NAT-->虛擬伺服器
USG6000:策略 > NAT策略 > 伺服器映射
故障處理:映射不通
做完配置後不能通,與伺服器或網絡環境有關:
- 請使用http://tool.chinaz.com/port 來檢測埠開放(僅支持TCP),不要使用同一個內網來測試(要額外做配置)
- a. 是否有多網卡,有沒有配網關,防火牆有沒關閉
- b. 服務是否正常運行,服務的埠是否與映射的內部埠相同
- 內網伺服器:
- 外部埠是否是80,這個埠容易被封
- 中間是否還有上網行為管理設備
1、檢查安全策略,是否允許公網主動進入
2、查看會話表來判斷問題點
- a) 打開埠掃描工具:http://tool.chinaz.com/port,填寫外部IP和外部埠,點「查詢」,或者有人配合從公網上來測試
- b) 同時在防火牆上查看會話表:
display firewall session table verbose destination inside 192.168.1.20 destination-port 8080
- c) 用命令行方式查看,能看到來回的數據包個數
(舉例)
<-- packets 表示進入的數據包
--> packets 表示發出的數據包
- d) 一定要同時進行,會話最長只有20秒
3. 如果沒有產生會話,而操作是正確的,公網沒有轉發過來。
<-- packets的值為0
- a)尤其是80等常用埠會被運營商封閉
- b)嘗試把映射的外部埠改成大埠,如12000,轉發策略同步修改。如能測試通,表明埠被封,聯繫運營商申請,或改用其他外部埠
- c)可聯繫運營商幫忙排查
4. 如果有會話產生,但沒有回包
--> packets的值為0
- a) 在防火牆上ping –a 外網口ip 伺服器內部ip,看是否能ping通,如ping -a 100.1.1.1 192.168.1.20
也可在系統->維護->診斷中心-->ping中操作
如果ping不通,那不填「報文源地址」,再測試能否ping通。
- b) 在內網測試業務埠是否正常,最好能跨網段測試。可能性:伺服器雙網卡或誤配/少配默認路由
- c) 檢查伺服器對訪問者ip是否有安全策略,請聯繫伺服器管理員確認
- d) 如果內網中有三層設備,檢查路由
- e) 如果內網中有上網行為管理,嘗試去掉測試或修改策略