共计 620 个字符,预计需要花费 2 分钟才能阅读完成。
1. 需要剖析
内网有相应的服务须要提供给外网用户进行拜访,外网用户能通过防火墙公网地址拜访到内网服务器实在业务。
2. 解决方案
2.1 软硬件信息
| 软件版本 | 硬件平台 |
|---|---|
| StoneOS 5.5R3P9 | SG-6000-E1700 |
2.2 试验环境
外网通过设施公网 IP 39.98.200.40:8081 拜访内网地址的 10.1.1.1 的 HTTP 80 服务。
2.3 网络拓扑
2.4 配置步骤
2.4.1 自定义(端口)服务
先在对象中找到服务簿,自定义一个 tcp-8081 端口。
注:目标端口为固定端口时,配置最小和最大统一,间断范畴端口能够配置一个区间。在没有指定源端口的状况下,不必填写源端口,如果配置,会导致 DNAT 不匹配。(因个别源端口是随机,目标端口固定)
2.4.2 配置目标 NAT
能够在更多配置里开启记录日志,不便验证。
2.4.3 配置安全策略
2.5 后果与故障剖析
配置实现。如果呈现映射不通的状况下,请依照以下步骤查看:
(1)监控是否有日志,没有日志查看 DNAT 配置及自定义服务。
(2)若配置没有问题,查看内网端口是否可达(能够通过 SLB 服务探测性能帮助查看)。
(3)若内网端口不可达,查看内网路由。
(4)若内网端口可达,更换外网端口测试,测试胜利则是外网端口问题。
(5)如果外网端口测试失败,debug 抓包看数据包是否到防火墙,未到防火墙则是运营商问题;到防火墙被抛弃或内网没有回包,则查看抛弃起因;内网没回包思考是内网没有回指路由的起因,能够做 SNAT 转换成内网接口测试。
正文完