華為USG系列防火墻服務(wù)器映射端口后外網(wǎng)無(wú)法訪(fǎng)問(wèn)可能原因總結(jié)分析，幫助遇到同類(lèi)問(wèn)題的網(wǎng)友。

問(wèn)題描述

USG系列防火墻上單出口、多出口場(chǎng)景，配置服務(wù)器端口映射，外網(wǎng)無(wú)法通過(guò)映射訪(fǎng)問(wèn)到服務(wù)器的可能原因總結(jié)

解決方案

單出口場(chǎng)景

1、安全策略。 未配置到服務(wù)器私網(wǎng)地址允許的安全策略

2、服務(wù)器沒(méi)有設(shè)置網(wǎng)關(guān)。通常判斷辦法，防火墻直接ping服務(wù)器可以ping通，帶出口地址作為源地址無(wú)法ping通服務(wù)器。

3、運(yùn)行商限制端口。常用五元組抓包或者五元組丟包統(tǒng)計(jì)來(lái)判斷報(bào)文是否到設(shè)備，如無(wú)計(jì)數(shù)，更換外部端口。（PS：不能以沒(méi)有會(huì)話(huà)表示設(shè)備沒(méi)有收到報(bào)文，沒(méi)有會(huì)話(huà)可能是被設(shè)備丟棄了）

4、服務(wù)器對(duì)應(yīng)軟件端口的服務(wù)未啟用。可以在內(nèi)網(wǎng)電腦訪(fǎng)問(wèn)服務(wù)器私網(wǎng)地址，確認(rèn)下對(duì)應(yīng)的端口服務(wù)是否啟用。

5、服務(wù)器本身限制，僅允許同網(wǎng)段IP訪(fǎng)問(wèn)。該問(wèn)題可以在防火墻上配置一條外網(wǎng)到內(nèi)網(wǎng)的源nat策略，指定轉(zhuǎn)換為可以訪(fǎng)問(wèn)的網(wǎng)段。

多出口場(chǎng)景

多出口在單出口的基礎(chǔ)上還可能存在如下原因

1、多出口未啟用源進(jìn)源出，導(dǎo)致回包從其他接口出去。

2、IP欺騙攻擊導(dǎo)致跨運(yùn)營(yíng)商無(wú)法訪(fǎng)問(wèn)。五元組丟包統(tǒng)計(jì)可以確認(rèn)