这几天遇到一个问题,内网服务器通过防火墙NAT转换成公网地址,对方服务器通过公网地址能够访问服务器,但是通过服务器访问对方服务器时,访问不到,对面的服务器也是通过防火墙地址NAT转换过来的。
环境说明:192.168.1.1、192.168.1.2、192.168.1.3组成一个局域网,能够互相访问,其中192.168.1.1在防火墙上NAT位231.1.3.10。231.1.3.1、231.1.3.6、231.1.3.10组成一个专网。
初步定位,对方服务器B(231.1.3.1)能够telnet到我方服务器A(外网231.1.3.10,内网192.168.1.1),我方服务器(外网231.1.3.10,内网192.168.1.1)可以telnet访问局域网其他服务器(192.168.1.2、192.168.1.3),说明服务器A(外网231.1.3.10,内网192.168.1.1)telnet服务没问题。
服务器B(231.1.3.1)通过公网地址(231.1.3.10)能够访问到服务器A,说明防火墙目的映射配置没问题。但是出站地址,原以为通过防火墙NAT转换,入站地址和出站地址是一个地址,对方把我方服务器A的公网地址(231.1.3.10)加入防火墙策略后,但测试过程中,始终未收到包,反而收到了几个231.1.3.111的包,对方询问是否我方的出站地址是231.1.3.111
询问防火墙维护人员,一口咬定出站地址和入站地址是一个地址(231.1.3.10),这边配置没问题。
我通过微信和电话询问了原同事和现同事配置过天融信防火墙的人员,告知,天融信防火墙跟其他防火墙不太一样,做NAT映射时,需要做一条从外往里的目的转换,和从里往外的源转换。
由于服务器A可以被服务器B通过公网访问,说明防火墙目的转换已经生效,需要再配置源转换,把192.168.1.1NAT为231.1.3.10的源转换策略加入到防火墙后,经验证,命中数为0。说明策略仍未生效。最后仔细研究了下发现有一条源转换策略(any,231.1.3.111。)
经验总结:
1、天融信的防火墙策略是自动覆盖,上面的策略和下面的策略如果冲突,上面的策略生效,下面的策略未生效。
2、天融信防火墙如果需要被访问的话,需要添加源转换和目的转换,配置双向转换是不生效的。
