汇报一个端口映射造成的惨剧，望各位兄弟引以为戒

      今天接到客户反映，外网突然无法访问，全公司 1200 人处理断网状态。事情紧急马上处理。客户的设备为两台 ac 路由模式做 ha 一主一备作为出口网关，在现场发现设备可以 ping 通，但 wan 口 lan 口均无法登陆。telnet 设备 443、22345、51111 端口均为关闭状态。用网线直连设备，使用升级工具可以搜索到设备，但无法连接。尝试过重启、用交叉线接到两个网口重启设备想恢复出厂设置，没成功。没办法电话求助 400 兄弟，在 400 兄弟的指导下尝试使用 ha 的接口登陆，登陆成功！！！！400 兄弟登陆后台排查发现故障原因中客户配置的端口映射导致的！至于是端口映射哪里设置错了，下面细说。

   设备版本11.2 客户本来是打算将外网指定一个端口映射到内网一台服务器的指定端口上，但做端口映射的时候 转换协议条件 没有填写目的端口，而是选择了所有端口。

   

同时选择了发布服务器，访问内网服务器时转换为lan口的IP

最后策略出来的效果：

   这条端口映射做完后的效果就是内网所有用户无法访问外网，可以ping通设备 ，但web界面无法登陆，telnet 443、22345、51111端口均是关闭的。

  发现问题后直接禁用该条端口映射的策略网络就恢复正常了。问题总算处理了，其实最艰难的就是客户的各种领导过来现场指挥：“什么原因？””为什么会这样？“”什么时候能处理好？“”怎么一下子就没网了？“

其实这类高危的操作，能不能作个警告的提示，毕竟设置错了整网都断了，或者有没有机制防止类似操作。而且还有一点不太明白的就是这条端口映射做完之后为什么连内网的LAN口都不能直接管理？

既然web页面都登陆不了，能分享下是怎么进去禁用的规则吗？

我好像遇到过这个情况，我觉得某公司的端口映射比较麻烦，曾经看过一个厂家的端口映射： 外部地址  端口号    内部地址端口号       就这么简单，还好理解

选所有目标地址造成的吧！把所有访问都转换成了服务器地址，的确是高危动作。建议去提建议。

其实AC做映射我还真只是学习了理论上是那么操作，实际上实施起来还真不知道怎样，长知识了，谢谢分享

感谢楼主的经验分享，这个确实容易出错，有个警示是最好的，楼主可以在建议版块向研发提建议，采纳有奖~

我之前一直用某公司的AC和vpn产品。没用用过防火墙功能。今天也遇到了和这个问题一样的，100%，我也是要发布内网IP到外网，结果全部断网了。最后把这个规则去掉了才可以。
我用过其他品牌的防火墙，10多年，cisco checkponit fortinet ,isa等，都没有说发布一个端口映射，会造成全部断网，而且设备本身也无法访问。
最差的情况就是规则无法下发，或者没有生效。
建议改一下端口发布的界面。起码不要全部断网，不要无法登陆设备本身。

现在我还不知道如何正确发布内网IP为AC的公网地址。

虽然之前看过这个帖子知道这种情况，但是今天我就傻逼的在自己公司做映射的时候做了这种情况，全部断网。。。通过DMZ口都登录不进去，最后是恢复出厂再通过昨天的备份恢复了！！

学习到了