内网服务器访问正常，深信服上做了外网内网端口映射，出现外网访问总是不通的情况

内网服务器访问正常，深信服上做了外网内网端口映射，出现外网访问总是不通的情况

1.深信服到内网服务器端口是否通
2.映射是否是常用端口 例如80 443一般会被运营商封掉
3.尝试过端口测试过吗？
4.配置是否对
5.应用控制是否放通了？或者放个全通试试

AC,AD,还是af做的端口映射,

端口是否有冲突或被占用,都检查一下

AD 7.0.5之前端口映射在【网络配置】-【端口映射】 配置详情请参考：点击此处

AD 7.0.5及之后端口映射在【网络部署】-【地址转换】-【目的地址转换】配置详情请参考：点击此处

1、AC/SG 6.1及之前版本,【防火墙】-【端口映射】里面【新增】-【简单规则】或者【高级规则】配置端口映射，建议配置高级规则。

2、AC/SG 11.0及之后版本，在【系统管理】-【防火墙】-【端口映射】里面【新增】-【简单规则】或者【高级规则】配置端口映射，建议配置高级规则。

更多配置详情建议参考链接：点击这里

高级规则配置动图：

注意：配置全端口映射会有无法登录控制台风险

AF支持做全端口映射；

注意：一般不建议在AF上配置全端口映射，若配置错误会导致AF设备无法进行登录以及内网用户断网

另，一般不建议将服务器端口映射至外网的80、443等端口，一方面运营商可能会这些端口进行限制，另一方面，AF本身也会用到这些端口，映射可能会影响从外网管理AF设备；

配置AF全端口映射 的步骤：

1、标准版本AF8.0.35-8.0.69版本操作路径示例:可在【策略】-【地址转换】新增地址映射，策略名称自定，源区域选择对应的外网接口所属区域，目标IP可以选择指定的单个外网IP或者外网IP组，选择需转换的协议以及端口为全部，目的地址转换为对应的内网服务器地址，勾选放通【应用控制策略】

2、标准版本AF8.0.2-8.0.32版本操作路径示例:可在【策略】-【地址转换】-【新增】-【服务器映射】策略名称自定，源区域选择对应的外网接口所属区域，目标IP可以选择指定的单个外网IP或者外网IP组，选择需转换的协议以及端口为全部，目的地址转换为对应的内网服务器地址，勾选放通【应用控制策略】

3、标准版本AF7.4版本操作路径示例:可在【网络】-【地址转换】-【新增】-【目的地址转换】新增地址映射，策略名称自定，源区域选择对应的外网接口所属区域，目标IP可以选择指定的单个外网IP或者外网IP组，选择需转换的协议以及端口为全部，目的地址转换为对应的内网服务器地址，勾选放通【应用控制策略】

4、标准版本AF7.3之前版本操作路径示例:可在【防火墙】-【地址转换】-【新增】-【目的地址转换】新增地址映射，策略名称自定，源区域选择对应的外网接口所属区域，目标IP可以选择指定的单个外网IP或者外网IP组，选择需转换的协议以及端口为全部，目的地址转换为对应的内网服务器地址，勾选放通【应用控制策略】

端口映射需要开启后台服务，虚拟服务，然后调用服务匹配起来，需要把这几个地址都配置好，一个是外网地址端口对应的是虚拟服务tcp，内网地址端口对应的是后台服务tcp

先确定是什么设备做的出口：AC  AD  AF 还是其他的？
AC端口映射不成功排查：
1、核对端口映射的配置是否有正确，【系统管理】-【防火墙配置】-【端口映射】
2、检测设备是否可以访问到内网的服务器，【系统管理】-【系统诊断】-【命令行控制台】，测试下ping服务器是否能通，如果ping可以通，再telnet 服务器IP地址   端口号，测试下服务器通信的端口通信是否正常
3、如果映射的是公网地址的80或者8080端口，换其他端口试试看是否可以
端口映射没有问题，端口也是通的，建议这样排查：
1、在【系统管理】-【系统诊断】-【上网故障排除】针对内网服务器地址开直通看看，看启用直通后是否可以访问到
2、在设备里面做一下snat，看看是否可以，在【系统管理】-【防火墙】-【NAT代理上网】-新增一条规则，外网接口选择【应用于指定网口】，选择服务器所在的接口，【代理网段】选择代理所有ip地址，【转换源ip地址为】使用外网接口地址，点击【高级设置】，【目标ip地址转换条件】为指定目标地址网段，填写服务器的ip地址，子网掩码为32位，协议转换条件为服务器的协议和端口。

AD 端口映射不生效排查：
1、检查端口映射配置是否配置正确
端口映射配置参考链接点击这里
2、检查AD到映射的主机端口通信是否正常,排除内网安全设备的干扰,【系统配置】-【设备管理】-【WebConsole】中输入命令sock IP Port看是否正常,有Success输出表示正常。命令示范sock 192.168.1.100 80
3、上述排查没有问题,检查公网上端口映射对外的端口是否为80或者443,如果是,请与运营商确认该端口是否有备案,或者更改对外端口测试

AF目的地址转换不成功排查：
1、确认AF设备到内网服务器的端口是否通；
2、确认地址转换配置是否正确，包括IP、接口、区域等的选择是否正确，防火墙规则是否放通；
3、若配置了多条策略，可将这个策略移动到最上面再测试是否正常；
4、若映射的是80 8080端口建议换目的端口测试下，可能存在运营商封堵80 8080端口；
5、做双向地址转换测试看是否通， 若双向转换是通的，请检查
a:检查内网服务器是否能访问外网，如不通则要查内网与服务器是否有缺省路由；
b:检查内网服务器是否有安全软件或系统防火墙拦截；
c:检查中间是否有其他安全设备拦截公网IP对内网服务器的访问；
6、开启直通日志观察是否正常，若正常则需根据直通日志放通数据；
注：如果配置的是自定义服务映射，在AF8.0.35之后要注意自定义服务的源端口设置是否为全部，以及一条策略映射多个端口时，要注意转换后数据包的端口无需设置

总是不通，是有时候通还是一直不通？

内网访问服务器正常的话，可以在防火墙上去ping或者telnet服务器端口，确认防火墙到服务器可以正常通信
映射公网端口尽量避开80、443、8080之类的，这些端口一般会被运营商拦掉
确认测试是单独的互联网环境比如连手机热点之类的，如果是内网使用映射的公网地址去访问内网服务器可以考虑做双向地址转换
确认公网地址到服务器的包有正常的路由可以回包到防火墙，可以对比在公网环境访问DNAT和在内网使用双向地址转换访问

1.深信服到内网服务器端口是否通
2.映射是否是常用端口 例如80 443一般会被运营商封掉
3.尝试过端口测试过吗？
4.配置是否对
5.应用控制是否放通了？或者放个全通试试

有助于工作，学习学习

1.深信服到内网服务器端口是否通
2.映射是否是常用端口 例如80 443一般会被运营商封掉
3.尝试过端口测试过吗？
4.配置是否对
5.应用控制是否放通了？或者放个全通试试