网络排障:USG防火墙no-NAT策略不生效
2023-06-13 09:17:25 时间
拓扑如下,管理员将防火墙配置为对内部服务器 1 和服务器 2 进行 NAT,以便为 Internet 用户 (R1) 提供服务。并且服务器 1 被允许访问互联网,但服务器 2 不被允许。配置完成后,admin发现server 1和server 2都可以上网。
图 1:NAT 案例的拓扑
处理过程
- 验证故障现象,服务器1和服务器2都能ping通R1路由器。
- 检查防火墙上的 NAT 策略,以及服务器 2 是否被排除在 NAT 策略之外。
根据以上结果,服务器 2 被排除在 NAT 策略之外。
- 检查 NAT 服务器配置,以及服务器 2 是否包含在 NAT 服务器配置中。
结果显示服务器 2 包含在 NAT 服务器范围内,并且管理员没有为 NAT 服务器配置启用 no-reverse 功能。
根本原因
在 USG 防火墙上配置 NAT 服务器时,设备会为每个服务器 NAT 表项生成两个 server-map 表项。
反向 server-map 条目允许 Intranet 服务器在不被 Internet 用户访问的情况下启动会话。另一方面,设备会将流量与源 NAT 策略之前的服务器映射表进行匹配。
因此,当服务器 2 发起 ping 会话时,流量将匹配反向 server-map 条目并生成会话表条目,并跳过 NAT 策略中的拒绝条目。
图 2. 反向服务器映射条目允许意外流量。
解决方案
取消已配置的 NAT 服务器配置,然后重新配置。为服务器 2 配置 NAT 服务器时,添加 no-reverse 参数,就像下面的例子:
[FW1] nat server global 1.1.1.4 inside 10.1.1.3 no-reverse
相关文章
- 【重识云原生】第四章云网络4.8.6节——Dragonflow
- TCP/IP四层网络模型
- J Biosci|分子相互作用网络:机遇、挑战和前景
- 网络工程师必知:什么是下一代防火墙NGFW?
- 透析目标 NAT 类型的防火墙,网络工程师必看!
- 生成对抗网络项目:1~5
- Linux双线网络构建实践(linux双线配置)
- 安全网络:禁用Linux防火墙(关闭linux的防火墙)
- Linux抓取网络上的UDP数据包(linux抓udp包)
- iptables网络防火墙详解
- Linux网络配置教程:快速连接VPN的方法(linux如何连接vpn)
- 如何在linux系统中重启防火墙,保护您的计算机免受网络威胁?学习这些简单步骤,让您的系统更加安全!(重启防火墙linux)
- 轻松搞懂Linux网络配置NAT(Linux网络配置nat)
- 压力山大!五大网络趋势挑战企业网络
- 万字长文 | 中科院蒋田仔教授:脑网络组图谱及其在脑认知与脑疾病方面的应用
- python网络编程学习笔记(八):XML生成与解析(DOM、ElementTree)
- apache禁止搜索引擎收录、网络爬虫采集的配置方法