关于天融信G420A防火墙双向地址转换一个设置细节

今天碰到的一个现象:(此现象可能只是在G420A上出现,防火墙软件版本是Topsec Operating System tos_3.3.005.072.1_3.5_3 K1105071922

服务器server1  ip:172.168.1.1      通过天融信G420A防火墙做了两条地址映射:一条源地址映射、一条目的地址映射。如下图示:

 

 

此时,Internet上的用户能通过 113.105.88.8访问172.168.1.1提供的服务,  172.168.1.1也能访问Internet。

但是在server1上不能通过113.105.88.8访问自己提供的服务,(可能有人认为这是多此一举,其实不然,像有的邮件软件就必须通过互联网地址访问自己);

于是,我在server1上ping113.105.88.8也不通   但能ping通其他的互联网地址,包括防火墙outside地址113.105.88.1。

之后找了天融信的工程师,告知:若要服务器自己通过映射后的地址访问自己,那么需要做一条双向地址映射。遂将双向映射做上去,加上前面加的源和目的映射这个时候共有三条地址映射。但是问题依旧,找了好久原因,无意间我将目的映射移动到双向映射后面,问题就解决了。

反复试验得出结论:若要服务器自己通过映射后的地址访问自己,需要做一条双向地址映射,同时双向映射策略要在目的映射策略前面.

(如下图:8328必须在8034前面)