SECPATH F1000-905-AI配置 nat map失败
- 0关注
- 0收藏,39浏览
问题描述:
我的SECPATH F1000-905-AI配置nat map如下:
interface GigabitEthernet1/0/1
port link-mode route
description GigabitEthernet1/0/1 Interface ӿ
ip address 117.12.156.206 255.255.255.0
tcp mss 1300
ip last-hop hold
nat outbound
nat server protocol tcp global current-interface 443 inside 192.168.101.215 443 rule web443
nat server protocol tcp global current-interface 9091 inside 192.168.101.119 22 rule linux200110-9091
nat hairpin enable
ipsec apply policy swan
---------------------ip 接口如下-------------
<H3C>disp ip inter brief
*down: administratively down
(s): spoofing (l): loopback
Interface Physical Protocol IP Address Description
GE1/0/0 down down 192.168.0.1 --
GE1/0/1 up up 117.12.156.206 GigabitEtherne...
GE1/0/2 up up 192.168.1.3 GigabitEtherne...
GE1/0/3 down down -- --
GE1/0/4 down down -- --
SSLVPN-AC1 up up 10.10.10.1 --
Vlan1 down down 172.16.10.1 --
Vlan250 up up 192.168.250.2 --
Vlan254 up up 192.168.254.2 --
------------路由如下--------------
<H3C>disp ip routing-table
Destinations : 35 Routes : 36
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 117.12.156.206 GE1/0/1
192.168.1.1 GE1/0/2
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
10.10.10.0/24 Direct 0 0 10.10.10.1 SSLVPN-AC1
10.10.10.0/32 Direct 0 0 10.10.10.1 SSLVPN-AC1
10.10.10.1/32 Direct 0 0 127.0.0.1 InLoop0
10.10.10.255/32 Direct 0 0 10.10.10.1 SSLVPN-AC1
58.252.194.0/24 Static 50 0 117.172.222.1 GE1/0/1
117.172.222.0/24 Direct 0 0 117.172.222.206 GE1/0/1
117.172.222.0/32 Direct 0 0 117.172.222.206 GE1/0/1
117.172.222.206/32 Direct 0 0 127.0.0.1 InLoop0
117.172.222.255/32 Direct 0 0 117.172.222.206 GE1/0/1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
192.168.1.0/24 Direct 0 0 192.168.1.3 GE1/0/2
192.168.1.0/32 Direct 0 0 192.168.1.3 GE1/0/2
192.168.1.3/32 Direct 0 0 127.0.0.1 InLoop0
192.168.1.255/32 Direct 0 0 192.168.1.3 GE1/0/2
192.168.3.0/24 Static 60 0 192.168.254.5 Vlan254
192.168.100.0/24 Static 60 0 192.168.254.1 Vlan254
192.168.101.0/24 Static 50 0 192.168.250.1 Vlan250
192.168.180.0/24 Static 60 0 192.168.254.1 Vlan254
192.168.200.0/24 Static 60 0 192.168.254.1 Vlan254
192.168.250.0/24 Direct 0 0 192.168.250.2 Vlan250
192.168.250.0/32 Direct 0 0 192.168.250.2 Vlan250
192.168.250.2/32 Direct 0 0 127.0.0.1 InLoop0
192.168.250.255/32 Direct 0 0 192.168.250.2 Vlan250
192.168.254.0/24 Direct 0 0 192.168.254.2 Vlan254
192.168.254.0/32 Direct 0 0 192.168.254.2 Vlan254
192.168.254.2/32 Direct 0 0 127.0.0.1 InLoop0
192.168.254.255/32 Direct 0 0 192.168.254.2 Vlan254
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
-------结果是-------------------
nat server protocol tcp global current-interface 443 inside 192.168.101.215 443 rule web443 这条配置可以通过互联网访问
nat server protocol tcp global current-interface 9091 inside 192.168.101.119 22 rule linux200110-9091 这条确不可以
两条的端口在内部都是开启的,防火墙都是没有启用的,可能是什么原因导致不能正常使用。
1. nat server语法错误
原配置中nat server protocol tcp global current-interface 9091 inside 192不完整,缺少内部IP地址和端口:
正确格式:nat server protocol tcp global current-interface 9091 inside 192.168.101.xxx 9091(需补充完整内部IP和端口)。
2. nat outbound未指定ACL
nat outbound需绑定ACL规则(如nat outbound 100,其中ACL 100定义允许转换的源地址),否则默认拒绝所有流量。
3. 零段问题排查步骤
检查nat server配置:确保global和inside端口/IP完整,格式为global
验证ACL规则:执行display acl all确认ACL 100(或指定的ACL)是否允许源地址转换。
测试连通性:使用ping或telnet测试公网地址+端口是否可达内部服务器。
查看NAT日志:执行display nat session或display nat server确认映射是否生效。
关键修正命令示例:
补充nat server完整配置
nat server protocol tcp global current-interface 443 inside 192.168.101.215 443 rule web443
nat server protocol tcp global current-interface 9091 inside 192.168.101.xxx 9091 rule web9091
配置ACL 100允许源地址转换(假设允许192.168.101.0/24网段)
acl number 100
rule 0 permit source 192.168.101.0 0.0.0.255
绑定nat outbound
nat outbound 100
若仍失败,需检查防火墙策略(如security-policy)是否允许公网端口入站。
F1000-905-AI 9091 端口 nat server 不通、443 正常完整排查
一、先梳理已知正常 / 异常对比
公网 443→内网 192.168.101.215:443 正常
公网 9091→内网 192.168.101.119:22 不通
内网两台服务器本地端口均放行、内网互通正常;外网口 GE1/0/1 地址 117.12.156.206
内网 192.168.101.0/24 路由存在:Static 50 0 192.168.250.1 Vlan250
二、核心故障点按概率从高到低
1. 安全策略未放行外网访问 9091 端口(最高概率)
关键说明
两条 nat server 只是做地址端口转换,安全策略是独立控制放通与否。
443 业务大概率你提前放通了,9091 端口没加安全策略规则。
外网流量流程:公网→GE1/0/1 入接口 → 安全策略校验 → NAT 转换 → 内网服务器
没有允许公网源访问目的 192.168.101.119 22 的策略,直接丢弃。
排查命令
bash
运行
display security-policy rule all | include 9091
display security-policy rule all | include 192.168.101.119
修复配置示例
bash
运行
security-policy
rule 10 permit source any destination 192.168.101.119 0 service tcp destination-port eq 22
rule 20 permit source any destination 192.168.101.215 0 service tcp destination-port eq 443
2. 运营商侧封禁 9091 高危端口(高频现场问题)
运营商对公网 IP 常见封禁端口:22、21、3389、9090、9091、8080 等,防止恶意对外暴露 SSH。
验证方法 1:在防火墙本机测试公网端口连通性
bash
运行
telnet 117.12.156.206 9091
如果防火墙自己都连不上,基本是运营商拦截。
验证方法 2:更换对外映射端口,比如公网 10022 映射内网 22
bash
运行
nat server protocol tcp global current-interface 10022 inside 192.168.101.119 22 rule test
换端口后能通 = 运营商封 9091。
3. 内网服务器 192.168.101.119 自身防火墙 / SSH 限制
Linux 防火墙 firewalld/iptables 只放行内网网段,拒绝公网转换后的访问源;
sshd 配置限制仅内网网段登录,禁止公网 IP 访问 22 端口;
验证:在内网同网段电脑 ssh 192.168.101.119 22 正常,公网访问不通,排除本机防火墙。
4. NAT hairpin、回环不影响外网访问,可排除
hairpin 仅管控内网用户用公网 IP 访问服务,互联网公网访问不受该配置影响,不是本次故障原因。
5. 路由层面无问题,可排除
路由表存在 192.168.101.0/24 静态路由,回程可达;0.0.0.0 双默认路由不影响单台服务器映射。
6. IPSEC 策略干扰(次要排查点)
外网口绑定ipsec apply policy swan,检查 IPSEC 策略是否错误拦截 9091 流量:
bash
运行
display ipsec policy swan
IPSEC 加密域若包含 117.12.156.206:9091,会把公网入站流量当做加密流量处理,导致不通。
三、快速定位排错命令(现场依次执行)
查看 NAT Server 是否生成转换表项
bash
运行
display nat server
display nat session table destination 192.168.101.119
无 session 表 = 安全策略拦截 / 运营商拦截。
2. 报文调试,看流量在哪丢弃
bash
运行
debugging ip packet acl 3001
terminal monitor
acl number 3001
rule permit tcp destination 192.168.101.119 0 eq 22
能收到外网入包、无回程包:内网服务器拦截 / 回程路由异常;
完全无入包:运营商封端口;
收到入包直接丢弃:安全策略拒绝。
四、最简临时解决方案
先新增安全策略放行该服务器 22 端口;
若仍不通,更换公网映射端口(如 10022 替代 9091)测试;
更换端口通了,联系运营商解封 9091 或长期使用非封禁端口。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论