2019-06-29  10,532 views 评论

华为USG6370防火墙内网用户使用公网地址访问内部服务器访问失败的解决方法

华为USG6370防火墙内网用户使用公网地址访问内部服务器访问失败的解决方法

问题描述

配置好NAT SERVER后,从外网使用公网地址访问内部服务器访问正常,但内网用户使用公网地址访问内部服务器访问失败。

https://support.huawei.com/view/pages/main/images/transparent.gif 处理过程

经确认,访问终端与服务器连接在同一台交换机上,交换机上连防火墙,访问终端的IP地址与服务器的IP地址在同一网段。

在未配置域内NAT功能的情况下,当访问终端访问服务器映射的公网IP地址后,防火墙会将目的地址转换为服务器的私网地址,并转发给内部服务器,当服务器在回包时发现对端与自己在同一网段,不会将报文发给自己的网关(防火墙),而直接通过交换机转发给终端,当终端收到此响应报文时发现并不是自己所访问的服务器(公网地址)的响应报文,会将报文丢弃,从而导致不通。

https://support.huawei.com/view/pages/main/images/transparent.gif 根因

未配置域内NAT策略。

https://support.huawei.com/view/pages/main/images/transparent.gif 解决方案

一、配置NAT地址池。

1. 选择“策略 > NAT策略 > 源NAT > NAT地址池”。 (说明:地址池中的地址可以是公网地址,也可以是私网地址,关键是不能和server 的私网地址在同一网段。假设此处配置为10.1.1.1)

2. 单击“新建”,按如下参数配置。

https://support.huawei.com/enterprise/product/images/02efd6f61d194ed3ade56d91d815793d

3.单击“确定”。

二、配置源NAT策略,实现PC访问公网地址时自动进行源地址转换。(说明:源安全区域和目的安全区域根据内网接口所在区域选择且都选择相同的(本案例为trust区域),目的地址为服务器的私网IP地址)

1. 选择“策略 > NAT策略 > 源NAT策略”。

2. 单击“新建”,按如下参数配置。

https://support.huawei.com/enterprise/product/images/90621c7ed91f4c7bbab39f6cd2f70b57

3. 单击“确定”。

原创文章或网络摘录,转载请注明: 转载自守候的时光

本文链接地址: 华为USG6370防火墙内网用户使用公网地址访问内部服务器访问失败的解决方法

打赏

给我留言

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: