端口映射(两步走)
1、允许外网流量到达内网,配置安全策略
此处以USG2000&5000 V300R001C10作为示例,其他在菜单上有变化。
此处检查untrust-->trust默认动作是否为permit
如为permit,可跳过此步,直接配置端口映射
非permit状态可以右侧编辑为permit 或者保留deny,见第二图新建转发策略
USG2000&5000:防火墙 > 安全策略 > 转发策略
USG6000:策略 > 安全策略
2、配置端口映射
此处以USG2000&5000 V300R001C10作为示例,其他版本在菜单上有变化。
V300R001C00:防火墙-->NAT-->虚拟服务器
USG6000:策略 > NAT策略 > 服务器映射
故障处理:映射不通
做完配置后不能通,与服务器或网络环境有关:
- 请使用
http://tool.chinaz.com/port来检测端口开放(仅支持TCP),不要使用同一个内网来测试(要额外做配置)
- a. 是否有多网卡,有没有配网关,防火墙有没关闭
- b. 服务是否正常运行,服务的端口是否与映射的内部端口相同
- 内网服务器:
- 外部端口是否是80,这个端口容易被封
- 中间是否还有上网行为管理设备
1、检查安全策略,是否允许公网主动进入
2、查看会话表来判断问题点
- a) 打开端口扫描工具:
http://tool.chinaz.com/port,填写外部IP和外部端口,点“查询”,或者有人配合从公网上来测试
- b) 同时在防火墙上查看会话表:
displayfirewallsessiontableverbosedestinationinside192.168.1.20destination-port8080
- c) 用命令行方式查看,能看到来回的数据包个数
(举例)
<-- packets 表示进入的数据包
--> packets 表示发出的数据包
- d) 一定要同时进行,会话最长只有20秒
3. 如果没有产生会话,而操作是正确的,公网没有转发过来。
<-- packets的值为0
- a)尤其是80等常用端口会被运营商封闭
- b)尝试把映射的外部端口改成大端口,如
12000,转发策略同步修改。如能测试通,表明端口被封,联系运营商申请,或改用其他外部端口 - c)可联系运营商帮忙排查
4. 如果有会话产生,但没有回包
--> packets的值为0
- a) 在防火墙上
ping –a外网口ip 服务器内部ip,看是否能ping通,如ping -a 100.1.1.1 192.168.1.20
也可在系统->维护->诊断中心-->ping中操作
如果ping不通,那不填“报文源地址”,再测试能否ping通。
- b) 在内网测试业务端口是否正常,最好能跨网段测试。可能性:服务器双网卡或误配/少配默认路由
- c) 检查服务器对访问者ip是否有安全策略,请联系服务器管理员确认
- d) 如果内网中有三层设备,检查路由
- e) 如果内网中有上网行为管理,尝试去掉测试或修改策略
