先确定是什么设备做的出口:AC AD AF 还是其他的?
AC端口映射不成功排查:
1、核对端口映射的配置是否有正确,【系统管理】-【防火墙配置】-【端口映射】
2、检测设备是否可以访问到内网的服务器,【系统管理】-【系统诊断】-【命令行控制台】,测试下ping服务器是否能通,如果ping可以通,再telnet 服务器IP地址 端口号,测试下服务器通信的端口通信是否正常
3、如果映射的是公网地址的80或者8080端口,换其他端口试试看是否可以
端口映射没有问题,端口也是通的,建议这样排查:
1、在【系统管理】-【系统诊断】-【上网故障排除】针对内网服务器地址开直通看看,看启用直通后是否可以访问到
2、在设备里面做一下snat,看看是否可以,在【系统管理】-【防火墙】-【NAT代理上网】-新增一条规则,外网接口选择【应用于指定网口】,选择服务器所在的接口,【代理网段】选择代理所有ip地址,【转换源ip地址为】使用外网接口地址,点击【高级设置】,【目标ip地址转换条件】为指定目标地址网段,填写服务器的ip地址,子网掩码为32位,协议转换条件为服务器的协议和端口。
AD 端口映射不生效排查:
1、检查端口映射配置是否配置正确
端口映射配置参考链接点击这里
2、检查AD到映射的主机端口通信是否正常,排除内网安全设备的干扰,【系统配置】-【设备管理】-【WebConsole】中输入命令sock IP Port看是否正常,有Success输出表示正常。命令示范sock 192.168.1.100 80
3、上述排查没有问题,检查公网上端口映射对外的端口是否为80或者443,如果是,请与运营商确认该端口是否有备案,或者更改对外端口测试
AF目的地址转换不成功排查:
1、确认AF设备到内网服务器的端口是否通;
2、确认地址转换配置是否正确,包括IP、接口、区域等的选择是否正确,防火墙规则是否放通;
3、若配置了多条策略,可将这个策略移动到最上面再测试是否正常;
4、若映射的是80 8080端口建议换目的端口测试下,可能存在运营商封堵80 8080端口;
5、做双向地址转换测试看是否通, 若双向转换是通的,请检查
a:检查内网服务器是否能访问外网,如不通则要查内网与服务器是否有缺省路由;
b:检查内网服务器是否有安全软件或系统防火墙拦截;
c:检查中间是否有其他安全设备拦截公网IP对内网服务器的访问;
6、开启直通日志观察是否正常,若正常则需根据直通日志放通数据;
注:如果配置的是自定义服务映射,在AF8.0.35之后要注意自定义服务的源端口设置是否为全部,以及一条策略映射多个端口时,要注意转换后数据包的端口无需设置 |
发表于 2022-12-9 13:45
