#原创分享#--AF端口映射乌龙

问题：AF双向地址转换后端口通，业务不通

拓扑：

背景：客户要实现内网服务器去访问外网服务器，lan-wan的双向地址转换，AF在中间充当网闸

对应AF功能：双向地址转换

1。AF上新建策略。（口述把，配置也比较简单)

内网服务器192.10.203.154   访问172.17.2.2    转换成  192.168.250.4 访问 192.168.253.7   端口是22277

2。在172.17.2.2 上测试端口   没有问题，，

3.测试业务；失败，业务访问有问题   （自己感觉和设备已经没有关系了，毕竟测试端口是通的啊）

4.看报错的这句英语，我竟然能翻译，“这个地址不被允许"  难道是客户的外网服务器做了地址校验。客户说不太清楚。。。

5.把外网的防火墙策略放通，业务仍然有问题 。报错一致。客户说能不能换一个地址做映射，重新配置DNAT

内网服务器192.10.203.154   访问172.17.2.2    转换成  192.168.250.18 访问 192.168.253.7   端口是22277

测试，报错中 192.168.250.4  变成了 192.168.250.18----比较确信是服务器那边的问题了。但是没有证据

6.那就抓包把，在内外网中间的墙上，抓内外 网口把

7.这就很明显了，。内网发了post请求之后 ，外网服务器回了个403错误。

8.给客户出个主意：

重新拿一个服务器充当192.168.253.7的角色，直接接内网，让服务器测试

如果问题一致，那还是中间链路或者防火墙的问题

如果问题解决，则是服务器的问题

9.后期回访，客户按照我的想法测试，测试成功了。

10.后期检查之前的服务器，确实服务器中做了基于源ip的权限设置。做了地址转换之后，192.168.250.4地址不被允许，后面测试的250.18 也一样。。导致服务器报403错误。

您好，感谢您参与社区原创分享计划3，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

学习了，AF端口映射一定要细致细致在细致

干货满满，感谢楼主的分享！:加油:

支持一下

好东西，学习一下

看下别人的经验，挺不错的

谢谢分享！

挺不错的

感谢楼主的精彩分享，有助工作。