【原创分享计划】+ 巧用抓包取证功能排除端口映射故障

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

【客户问题】

  防火墙做端口映射不成功

【问题分析】

  端口映射不成功，基本上由以下几个原因

  1.运营商把端口封了，访问流量到达不了目标地址

  2.端口映射设置错误，转换后内网IP设置错误

  3.设备或配置问题，收到访问流量后不转发

  4.防火墙有做安全策略，禁止访问端口

  5.内网服务器端口没开放

  6.端口正常访问，但是应用层问题导致的业务不可访问

【抓包方法】

  1.首先看防火墙端口情况。分清楚哪个是外网口，哪个是内网口。如果有多条线路，则以具体映射外网IP为准

  

（本次外网口为eth2口，内网口为eth0口）

  2.在外网电脑里用浏览器打开www.ip138.com，可以看到本机的外网地址

  

  3.在防火墙[排障][抓包取证]里抓取外网口收到的数据包，抓包选项的IP地址里输入外网电脑的外网IP，端口选要映射的端口

  

【排查步骤】

【情况一：排查运营商问题】

    外网电脑在不断telnet 80端口。停止抓包后，下载下来的数据包是空的，说明80端口运营商封住了

  

  换一个没封的8089端口对比一下：

  

【情况二：端口设置错误现象】

    正常情况下可以看到完整的三次握手过程

  

  端口映射配置错误的情况下，只看到外网电脑发的SYN包，并没有收到ACK的应答包，也就是访问数据请求已经到了目的网关，但是没收到回应

【情况三：外网收到访问请求，不转发或转发错误】

    左图是外网接口(eth2)抓到的数据包，右图是内网接口(eth0)抓到的数据包。正常情况下可以看到源地址保持不变，目的地址已经转换成内网地址了。很形象地说明什么叫目的地址转换。如果不转发的情况下，内网接口(eth0)是不会抓到数据包的

【情况四：安全策略阻止】

    建议排查端口映射问题时把内网和外网IP都加入黑白名单中的放行名单，或者开启直通时在设置开启条件中添加内网和外网IP

【情况五：内网服务器端口未开放】

    若采用TCP端口，可以在内网电脑或者防火墙命令控制台中使用telnet IP+端口号测试。若UDP端口的话要采用UDP端口测试工具测试

【情况六：应用层导致的问题】

    用内网电脑尝试以内网IP访问服务器应用，如果不行请联系软件开发商

【结语】

    以上就是我想到的端口映射不成功的几种解决方法。各位大佬如果还想到其它情况欢迎补充。

感谢楼主分享，整体排错思路和抓包分析思路都非常清晰。如楼主所描述，我们掌握好抓包工具，可以更快速帮助我们分析以及定位问题。有时候我们发现不通，通过界面或者手动测试，往往看到的很多只是现象，而通过抓包后的分析，可以让我们看到的很多都是真相。所以这项技能我们可以都可以多学习和应用。

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

学习一下

学习一下

抓包是个好东西，只可惜我不是很会

学习一下，分析的很透彻，很全面

学习了

不错的帖子。

学到了  排障又有了新思路