今天接到一個朋友求助電話,說他們公司內網服務器外網用戶突然不能訪問了。電話裡詳細詢問了下情況,得知他在Web界面下添加了一條內網映射,將服務器的地址網絡地址轉換成公網地址,沒有任何毛病。我叫他把配置命令發給我,後來找到了毛病。現在整理文檔分享給大家。
組網的拓撲圖大概如下
外網user突然訪問不了內網10.0.0.8的Server了。
配置部分命令如下:
#
acl number 2001
rule 0 permit source 10.0.1.0 0.0.0.255
rule 1 permit source 10.0.2.0 0.0.0.255
rule 2 permit source 10.0.3.0 0.0.0.255
rule 3 permit source 10.0.0.0 0.0.0.255
rule 4 permit source 10.0.30.0 0.0.0.255
rule 5 deny
#
acl number 3102
rule 5 permit tcp destination 10.0.0.8 0 //問題出在這裡
rule 45 deny ip
firewall zone untrust
priority 1
firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
interface Vlanif30
ip address 10.0.30.1 255.255.255.0
zone trust
#
interface Ethernet0/0/4
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/1
ip address 200.1.1.2 255.255.255.248
nat server protocol tcp global current-interface 9010 inside 10.0.0.231 9010
nat server protocol tcp global current-interface 9012 inside 10.0.0.232 9012
nat server protocol tcp global current-interface 9014 inside 10.0.0.233 9014
nat server protocol tcp global current-interface 9016 inside 10.0.0.234 9016
nat server protocol tcp global current-interface 4899 inside 10.0.0.50 4899
nat server protocol tcp global current-interface 5430 inside 10.0.0.36 5430
nat server protocol tcp global current-interface 8081 inside 10.0.0.94 8081
nat server global 200.1.1.2 inside 10.0.0.8
nat outbound 2001
zone untrust
原因分析
通過配置文件可以看出,設備Eth0/0/4連接內網服務器,GE0/0/1連接Internet,且做了防火牆業務。
從外網進來的報文先走防火牆業務流程,再走NAT業務流程。當外網用戶訪問內網服務器(如10.0.0.8,使用的公網地址是200.1.1.2)時,防火牆業務的ACL規則應該匹配的是公網地址200.1.1.2。修改配置以後,問題解決。
修改配置如下:
acl number 3102
rule 5 permit tcp destination 200.1.1.2 0
總結與建議:熟悉業務處理的流程,ACL規則一定要匹配正確的地址。歡迎大家關注KB小網管,有不同意見或者需要提問的,可以在下方評論去留言。
閱讀更多 KB小網管 的文章