内容来源:华为文档。本文样式、排版由 网络工程师阿龙编辑,如需转载 本样式风格、封面、字体版权,请保留此信息,以尊重小编辛苦编辑,否则后果自负。
端口映射(两步走)1、允许外网流量到达内网,配置安全策略
此处以USG2000&5000 V300R001C10作为示例,其他在菜单上有变化。
此处检查untrust-->trust默认动作是否为permit
如为permit,可跳过此步,直接配置端口映射
非permit状态可以右侧编辑为permit 或者保留deny,见第二图新建转发策略
USG2000&5000:防火墙 > 安全策略 > 转发策略
USG6000:策略 > 安全策略
展开全文
2、配置端口映射
此处以USG2000&5000 V300R001C10作为示例,其他版本在菜单上有变化。
V300R001C00:防火墙-->NAT-->虚拟服务器
USG6000:策略 > NAT策略 > 服务器映射
故障处理:映射不通
做完配置后不能通,与服务器或网络环境有关:
请使用 http://tool.chinaz.com/port 来检测端口开放(仅支持TCP),不要使用同一个内网来测试(要额外做配置)
a. 是否有多网卡,有没有配网关,防火墙有没关闭
b. 服务是否正常运行,服务的端口是否与映射的内部端口相同
内网服务器:
外部端口是否是80,这个端口容易被封
中间是否还有上网行为管理设备
请使用 http://tool.chinaz.com/port 来检测端口开放(仅支持TCP),不要使用同一个内网来测试(要额外做配置)
a. 是否有多网卡,有没有配网关,防火墙有没关闭
b. 服务是否正常运行,服务的端口是否与映射的内部端口相同
a. 是否有多网卡,有没有配网关,防火墙有没关闭
b. 服务是否正常运行,服务的端口是否与映射的内部端口相同
内网服务器:
外部端口是否是80,这个端口容易被封
中间是否还有上网行为管理设备
2、查看会话表来判断问题点
a) 打开端口扫描工具: http://tool.chinaz.com/port ,填写外部IP和外部端口,点“查询”,或者有人配合从公网上来测试
a) 打开端口扫描工具: http://tool.chinaz.com/port ,填写外部IP和外部端口,点“查询”,或者有人配合从公网上来测试
b) 同时在防火墙上查看会话表:
b) 同时在防火墙上查看会话表:
c) 用命令行方式查看,能看到来回的数据包个数
c) 用命令行方式查看,能看到来回的数据包个数
(举例)
<-- packets 表示进入的数据包
--> packets 表示发出的数据包
d) 一定要同时进行,会话最长只有20秒
d) 一定要同时进行,会话最长只有20秒
<-- packets的值为0
a)尤其是80等常用端口会被运营商封闭
b)尝试把映射的外部端口改成大端口,如 12000 ,转发策略同步修改。如能测试通,表明端口被封,联系运营商申请,或改用其他外部端口
c)可联系运营商帮忙排查
a)尤其是80等常用端口会被运营商封闭
b)尝试把映射的外部端口改成大端口,如 12000 ,转发策略同步修改。如能测试通,表明端口被封,联系运营商申请,或改用其他外部端口
c)可联系运营商帮忙排查
--> packets的值为0
a) 在防火墙上 ping –a 外网口ip 服务器内部ip,看是否能ping通,如 ping -a 100.1.1.1 192.168.1.20
a) 在防火墙上 ping –a 外网口ip 服务器内部ip,看是否能ping通,如 ping -a 100.1.1.1 192.168.1.20
也可在系统->维护->诊断中心-->ping中操作
如果ping不通,那不填“报文源地址”,再测试能否ping通。
b) 在内网测试业务端口是否正常,最好能跨网段测试。可能性:服务器双网卡或误配/少配默认路由
c) 检查服务器对访问者ip是否有安全策略,请联系服务器管理员确认
d) 如果内网中有三层设备,检查路由
e) 如果内网中有上网行为管理,尝试去掉测试或修改策略
b) 在内网测试业务端口是否正常,最好能跨网段测试。可能性:服务器双网卡或误配/少配默认路由
c) 检查服务器对访问者ip是否有安全策略,请联系服务器管理员确认
d) 如果内网中有三层设备,检查路由
e) 如果内网中有上网行为管理,尝试去掉测试或修改策略
版权声明
本文仅代表作者观点,不代表xx立场。
本文系作者授权xx发表,未经许可,不得转载。
评论列表
发表评论