CISCO防火干墙问题!

anniannisun · 发表于 2006-10-11 08:19:01

请教,CISCO520防火墙的做了static 静态重定向如static (inside, outside) 61.144.51.62 192.168.0.8 . 外网可以访问该域名.但内网不能访问域名.只能访问该内网的IP才能访问期间,外网IP可以访问61.144.51.62 和域名都能重定向到. 内网192.168.0.18访问61.144.51.62 和域名就不可以.不知是什么原因!

菜鸟人飞 · 发表于 2006-10-11 09:38:58

1. 问题描述
内部网中架设了一台同时对内和对外提供服务的FTP服务器，配置成成后，在外网可正常访问该FTP服务器，但在内网却只能通过内部IP地址访问，不能用FTP服务器的公网IP进行访问。

2. 拓扑图
　

3. 具体分析步骤：
第1步：捕获内部主机192.168.0.120使用地址61.xx.xxx.xxx访问FTP服务器的获数据包。
第2步：选中数据包视图，查看原始数据包信息，发现TCP三次握手并不成功，导致FTP的访问不成功。
第3步：查看数据包的具体解码信息，分析TCP三次握手不成功的原因。
第4步：分析三次握手不成功的原因。
第一个数据包，192.168.0.120向61.xx.xxx.xxx发起SYN请求，由于防火墙上的端口映射将发往61.xx.xxx.xxx的数据包递交给了192.168.0.254，故192.168.0.254向192.168.0.120回复一个SYN/ACK数据包，同意建立连接，图中的二层交换机在收到此数据包后，检查自身的ARP列表，发现192.168.0.120的主机与交换机直接连在一起，于是直接将此数据包转发到192.168.0.120，192.168.0.120收到数据包后，发现自己并没有建立连接的请求，于是向对方发送一个RST数据包拒绝此连接，于是，无法成功完成三次握手，从而无法成功建立连接FTP连接。

4. 结论：
由于内部主机192.168.0.120和FTP服务器的TCP三次握手数据包没有经过网关而直接转发到源端，从而导致三次握手不成功，进而影响FTP的成功建立。

CISCO防火干墙问题!

这儿有一个案例，和你的问题基本一致！

本帖子中包含更多资源