内容泉源:华为文档。本文样式、排版由网络工程师阿龙编辑,如需转载本样式风格、封面、字体版权,请保存此信息,以恭敬小编辛劳编辑,否则结果自负。
端口映射(两步走)1、答应外网流量到达内网,设置安全战略
此处以USG20005000V300R001C10作为示例,其他在菜单上有变革。
此处查抄untrust--trust默认动作是否为permit
如为permit,可跳过此步,直接设置端口映射
非permit状态可以右侧编辑为permit大概保存deny,见第二图新建转发战略
USG20005000:防火墙安全战略转发战略
USG6000:战略安全战略
2、设置端口映射
此处以USG20005000V300R001C10作为示例,其他版本在菜单上有变革。
V300R001C00:防火墙--NAT--假造服务器
USG6000:战略NAT战略服务器映射
故障处理惩罚:映射不通
做完设置后不能通,与服务器或网络环境有关:
请利用http://tool.chinaz.com/port来检测端口开放(仅支持TCP),不要利用同一个内网来测试(要额外做设置)
a.是否有多网卡,有没有配网关,防火墙有没关闭
b.服务是否正常运行,服务的端口是否与映射的内部端口雷同
内网服务器:
外部端口是否是80,这个端口轻易被封
中心是否尚有上网举动管理装备
1、查抄安全战略,是否答应公网主动进入
2、查察会话表来判定题目点
a)打开端口扫描工具:http://tool.chinaz.com/port,填写外部IP和外部端口,点“查询”,大概有人共同从公网上来测试
b)同时在防火墙上查察会话表:
displayfirewallsessiontableverbosedestinationinside192.168.1.20destination-port8080
c)用下令行方式查察,能看到来回的数据包个数
(举例)
--packets表现进入的数据包
--packets表现发出的数据包
d)肯定要同时举行,会话最长只有20秒
3.假如没有产生会话,而操纵是精确的,公网没有转发过来。
--packets的值为0
a)尤其是80等常用端口会被运营商封闭
b)实行把映射的外部端口改成大端口,如12000,转发战略同步修改。如能测试通,表明端口被封,接洽运营商申请,或改用其他外部端口
c)可接洽运营商资助排查
4.假如有会话产生,但没有回包
--packets的值为0
a)在防火墙上ping–a外网口ip服务器内部ip,看是否能ping通,如ping-a100.1.1.1192.168.1.20
也可在体系-维护-诊断中心--ping中操纵
假如ping不通,那不填“报文源地点”,再测试可否ping通。
b)在内网测试业务端口是否正常,最好能跨网段测试。大概性:服务器双网卡或误配/少配默认路由
c)查抄服务器对访问者ip是否有安全战略,请接洽服务器管理员确认
d)假如内网中有三层装备,查抄路由
e)假如内网中有上网举动管理,实行去掉测试或修改战略
京ICP备2023016396号
我要评论