关于天融信G420A防火墙双向地址转换一个设置细节
今天碰到的一个现象:(此现象可能只是在G420A上出现,防火墙软件版本是Topsec Operating System tos_3.3.005.072.1_3.5_3 K1105071922 )
服务器server1 ip:172.168.1.1 通过天融信G420A防火墙做了两条地址映射:一条源地址映射、一条目的地址映射。如下图示:
此时,Internet上的用户能通过 113.105.88.8访问172.168.1.1提供的服务, 172.168.1.1也能访问Internet。
但是在server1上不能通过113.105.88.8访问自己提供的服务,(可能有人认为这是多此一举,其实不然,像有的邮件软件就必须通过互联网地址访问自己);
于是,我在server1上ping113.105.88.8也不通 但能ping通其他的互联网地址,包括防火墙outside地址113.105.88.1。
之后找了天融信的工程师,告知:若要服务器自己通过映射后的地址访问自己,那么需要做一条双向地址映射。遂将双向映射做上去,加上前面加的源和目的映射这个时候共有三条地址映射。但是问题依旧,找了好久原因,无意间我将目的映射移动到双向映射后面,问题就解决了。
反复试验得出结论:若要服务器自己通过映射后的地址访问自己,需要做一条双向地址映射,同时双向映射策略要在目的映射策略前面.
(如下图:8328必须在8034前面)
转载于:https://blog.51cto.com/168ok8/975436