【IT168厂商动态】一、背景

　　某金融单位需在互联网发布其业务系统，具体落实为：边界设备通过一对一静态带端口映射，对互联网发布服务器，现场测试发布出现问题，解决问题并给出合理的处理建议。

　　二、问题、事件描述

　　1.现象：

　　外部无法访问服务器

　　内部终端及可以用公网地址访问服务器也可以用注册的域名访问服务器

　　2.原有配置：

　　firewall packet-filter default permit interzone trust untrust direction inbound

　　firewall packet-filter default permit interzone trust untrust direction outbound

　　nat server 0 protocol tcp global X.X.X.X www inside x.x.x.x www

　　注：进出2个方向的访问策略都配置正确，usg的web管理端口也已经改成其他。

　　3.可能问题分析：

　　a)配置不正确(到服务器的路由是否通、域间访问规则是否正确、端口映射书写是否正确、公网IP是否能正常使用)

　　b)服务器拒绝访问(服务器是否配置完毕，并授权外部访问，访问权限或特殊需求)

　　c)映射端口被封(端口是否已被其他程序所占用、运营商把端口封掉)

　　三、分析与对策

　　一)对问题1的处理过程：

　　1.1在usg ping服务器私网地址可以ping通。

　　1.2域间访问规则配置正确，进出都正确(最后把默认域间规则已打开)

　　1.3端口映射书写正确

　　1.4内网与服务器在同一个域内的用户已在使用互联网(公网IP没问题)

　　二)对问题2的处理过程：

　　2.1用与服务器同一个域的用户访问服务器私网IP，可以正常访问服务器上的服务

　　用相同的这一IP访问服务器的公网IP无法访问服务器(域内nat也已做)

　　三)对问题3的处理过程：

　　3.1在外网访问服务器的公网地址，无法访问

　　3.2在外网用web页面带端口访问usg的web功能，可以web管理usg

　　3.2删掉映射，把web管理端口改回80访问usg的web管理页面，无法访问(说明访问80端口的数据访问不到usg)

　　3.3把nat server的映射端口改成第二步中web管理的端口号，带端口访问服务器，依然无法访问

　　3.4在外网telnet 公网IP的3.3部中的端口号，可以访问，说明公网中可以传送这一端口号的访问数据

　　四)在以上访问工程中telnet 这一公网地址是可以的。

　　以上操作中在防火墙上查看：dis firewall session table ver

　　能看到以下几种情况的session表：

　　1)能看入方向的session表、能看到出方向的session表

　　2)能看到入方向的session表，不能看到出方向的session表

　　3)入方向和出方向上的session表都不能看到

　　查看:dis firewall server map 正常

　　四、建议与讨论

　　1、一些web的敏感端口很可能会被运营商封掉，要避开使用

　　2、服务器一些软件应用特殊，比如：映射要端口对端口，比如：同一局域网内才能适用

　　3、抓包，实在找不到原因就抓包分析