问题描述
如图所示,一台部署在企业出口,企业内部用户属于Trust区域,通过接口GE0/0/2与连接。FTP服务器等服务器属于DMZ区域,对外部和内部网络提供FTP等服务,通过接口GE0/0/1与连接。的接口GE0/0/3与Internet连接,属于Untrust区域。
防火墙上启动NAT功能。相关配置如下:
[sysname-interzone-trust-untrust] nat outbound 2000 address-group 1
[sysname] nat server global x.x.x.x inside 192.168.2.2
其中,211.1.1.8是FTP服务器的公网IP地址。
配置完成后,Trust区域的用户无法访问FTP服务器的私网地址192.168.2.2,只能访问其公网地址x.x.x.x。
告警信息
无
处理过程
修改nat server命令,添加zone关键字。将该命令只应用到DMZ和Untrust域间。[sysname] nat server zone untrust global x.x.x.x inside 192.168.2.2
根因
在配置命令nat server时没有指定zone关键字,nat server命令应用到了Trust和DMZ域间。造成Trust区域用户必须访问公网地址才能命中会话表。
建议与总结
在DMZ区域配置nat server时,如果需要Trust区域的用户用私网地址访问FTP服务器,必须配置zone关键字。