目录
Ⅰ 多线路端口映射
一、组网需求
将内网中的一台WEB服务器,分别映射到电信和联通2个互联网出口的公网IP上
WEB服务器地址: 192.168.1.2/24 网关:192.168.1.200
电信出口: 202.1.1.2/29 , 网关202.1.1.1, 服务器公网地址202.1.1.3
联通出口: 100.1.1.2/29 , 网关100.1.1.1, 服务器公网地址100.1.1.3
内部网段192.168.1.0/24需要上互联网。
案例意义:全新NGFW支持数据流源进源出;防火墙会对会话进行跟踪,从电信接口进入的访问,会优先从电信接口返回;从联通接口进入的访问,会优先从联通接口返回。条件是防火墙的路由表内,分别拥有能够匹配返回数据流的路由表。所以只需要配置电信和网通的两条默认路由即可。
二、网络拓扑
三、配置要点
1、配置接口地址
2、配置路由
3、配置虚拟IP(DNAT)
4、配置地址资源
5、配置策略
四、操作步骤
1、配置接口IP
配置详细过程请参照 “防火墙功能--单线上网--静态地址线路上网“一节:
接口IP如下:
2、配置路由
防火墙会对会话进行跟踪,从电信接口进入的访问,会优先从电信接口返回;从联通接口进入的访问,会优先从联通接口返回。条件是防火墙的路由表内,
分别拥有能够匹配返回数据流的路由表。所以只需要配置电信和网通的两条默认路由即可。
到电信的默认路由表:
到联通的默认路由表:
查看当前路由:
3、配置虚拟IP
配置虚拟IP:名称为web1,用于电信接口的IP映射。
配置虚拟IP:名称为web2,联通接口的IP映射。
说明:"外部的ip地址或范围"和"映射的IP地址或范围"数量是对应,一对一映射,起始框和结束框都得填写,映射ip只需要填写第一个框,后面框会根据数量对应关系自动填写。
比如202.1.1.3-202.1.1.10,内部映射起始IP是192.168.1.2,结束ip必须是192.168.1.9(自动填写),对应映射关系也是对应的,
202.1.1.3对应192.168.1.2;202.1.14对应192.168.1.3,依此类推
4、配置地址资源
菜单: 防火墙--地址--地址页面,点击”新建“
名称配置为”lan“,地址节点选择子网:”192.168.1.0/24“,点击确认。
5、配置策略
需要配置如下4条策略:
1)从wan1口到internal接口的虚拟IP策略
2)从wan2口到internal接口的VIP策略
3)从internal 到wan1口的策略,允许内部的ip使用wan1口进行互联网访问
4)从internal 到wan2口的策略,允许内部的ip使用wan2口进行互联网访问
五、验证效果
分别从2个接口访问202.1.1.3 和100.1.1.3 2个IP的80端口。
Ⅱ 端口映射(VIP)常见问题
关键词:外网无法访问映射服务器、内网使用域名或公网ip访问
1、防火墙处理外网访问VIP(端口映射)流量过程及各阶段常见问题点如下图
2、网络拓扑参考
3、各阶段排查详细步骤
(1)入接口收包阶段:确保防火墙有接收到到访问VIP的流量
· 排查方法:针对外网接口(以wan1口为例)使用debug sniffer确认数据包是否到达防火墙,命令如下:
diagnose sniffer packet wan1 ‘port 80’ //具体映射端口(外网访问的端口),此处以80端口为例
· 常见问题:新申请公网IP的80、8080等端口需要工信部备案,否则运营商不会放通,数据无法到达防火墙,如下截图:
正常情况下,外网口接收到的报文如下截图:
(2)防火墙处理阶段:确保配置正确,防火墙正常处理VIP流量
· 排查方法:使用debug flow来跟踪防火墙对数据包的处理过程,命令如下:
RG-WALL # diagnose debug enable
RG-WALL # diagnose debug flow show console
RG-WALL # diagnose debug flow filter dport 80 //具体映射端口(外网访问的端口),此处以80端口为例
RG-WALL # diagnose debug flow trace start 30 //抓包数量30
· 常见问题
问题1: 设置完VIP未在访问控制策略调用,抓包结果如下截图显示(匹配默认拒绝所有策略【policy0】, 丢弃)
解决方法:正常情况下,设置完成VIP后,需要在访问控制策略中调用如下图
VIP设置:
访问控制调用VIP设置
问题2:防火墙上没有到达实际内网服务器的路由;
解决方法:请确保防火墙上路由信息准确
问题3:vip设置、访问控制设置错误:例如映射ip、端口填写错误,映射ip、端口所处的物理接口填写错误
解决方法:请确保防火墙上路由信息准确请参照如下配置
a、VIP设置
b、访问控制配置
c、一个正常VIP流量防火墙处理debug flow抓包如下:
(3)出接口转发数据阶段:确保VIP流量从防火墙发出,同时正常接受服务器返回的流量;
· 排查方法:针对服务器所处接口(以internal口为例)使用debug sniffer确认数据包是否正常收发,命令如下:
diagnose sniffer packet internal ‘port 8080’ //服务器真实对外开放端口,此处以8080端口为例
· 常见问题
问题1: 服务器未正常开机或者未正常配置ip地址,表现为防火墙没有往外转发VIP流量,arp查询不到服务器地址
使用diagnose sniffer packet internal arp,无法获取服务器ip的mac地址(针对二层网络)
解决方法:请确保服务器正常开机,同时正确配置ip地址保证与防火墙的通信正常
问题2: 防火墙上发出了针对目标端口的请求报文,但是服务器无响应(如下抓包截图)
这通常是由以下几种原因造成:
1)服务器没有配置网关地址,或者服务器网关不在防火墙上
解决方法:在VIP策略上勾选NAT,使得匹配防火墙的数据自动执行源NAT转换,源ip转换成防火墙内网互联接口地址
2)内网有安全设备阻断对服务器访问流量进行过滤
解决方法:需要和用户确认,允许新增的流量访问
3)服务器自身映射的端口不正常或者未开启
解决方法:在内网使用与服务器同网段的ip进行测试
4)服务器上未开启nat穿越功能
解决方法:有些视频软件会设置是否允许nat穿越,勾选nat穿越、外网才能正常访问
5)未按标准方式写代码,如网页代码连接是私网ip地址,导致一些子链接无法打开
解决方法:联系网站开发人员解决
4、内网使用域名或公网ip访问设置:即使用192.168.1.153->172.18.157.92:80的访问
(1)上述防火墙外到内访问的配置为
· 增加vip设置,设置对应关系
访问控制调用vip设置:
(2)在以上防火墙外到内访问的基础上,增加一条从internal到wan1口ip地址(非vip地址,也可以选择为any)允许的访问控制策略;
策略中不需要选择NAT选项,防火墙会识别内网访问公网ip、域名的流量,自动执行NAT转换,将流量源地址转换为服务器所处于接口的ip地址,如下图所示:
