适用于华为USG6000系列防火墙,亲测有效。
在保证公网 IP 目的映射已经成功的基础上,可参考下文进行配置。并且无需再次添加安全策略,使用是目的映射 DNAT的安全策略。
此方法会导致内网客户端的流量经过防火墙出口绕路后再回到内网服务器,带宽小或者内网服务器流量大的情况不推荐使用。
华为USG6000防火墙内网用户使用公网地址访问内部服务器访问失败的解决方法
在保证公网 IP 目的映射已经成功的基础上,可参考下文进行配置。并且无需再次添加安全策略,使用是目的映射 DNAT的安全策略。
问题描述:
问题描述配置好目的映射 DNAT后,从外网使用公网地址访问内部服务器访问正常,但内网用户使用公网地址访问内部服务器访问失败。
原因:未配置域间 NAT策略。
在未配置域内 NAT 功能的情况下,当访问终端访问服务器映射的公网 lP 地址后,防火墙会将目的地址转换为服务器的私网地址,并转发给内部服务器,当服务器在回包时发现对端与自己在同一网段,不会将报文发给自己的网关(防火墙),而直接通过交换机转发给终端,当终端收到此响应报文时发现并不是自己所访问的服务器(公网地址)的响应报文,会将报文丢弃,从而导致不通。
解决方案
- 新建服务器映射。
- 配置 NAT 地址池。(可选)
- 新建 NAT 策略。
源、目的区域按需选择;源地址:PC 客户端网段,目的地址:内网服务器网段。如有问题可以先将安全区域设置为 any 测试。
若有收获,就点个赞吧
0 人点赞
