场景:创建了服务器映射并开放了安全策略,但是在测试业务的时候出现外网访问公网地址正常,但是内网访问公网地址却不通。
图一:服务器映射后,外网访问路径:1-2-3-4,可实现正常访问
图二:服务器映射后,内网访问外网地址,访问异常
原因:
步骤1:流量自PC至防火墙
步骤2:防火墙配置服务器映射策略,转换目的地址,转发数据包至服务器
步骤3:这一步服务器查询路由表后,数据包不会发送至防火墙,而是发送至PC,PC无法识别该会话,因此会丢弃该数据包,造成访问不通
解决办法一:
将服务器迁移至单独的DMZ区域,这样服务器与PC之间的数据交换就会经过防火墙控制,从而实现报文的源目保持一致,这种方法涉及更改网络架构。
解决方法二:
域内NAT
将内网PC主机访问内网服务器的时候,把源地址转换为防火墙的接口IP(或者地址池),这样服务器接收到数据报文就会返回给防火墙处理,从而实现源目地址一致