華為USG系列防火墻服務(wù)器映射端口后外網(wǎng)無法訪問可能原因總結(jié)分析，幫助遇到同類問題的網(wǎng)友。

問題描述

USG系列防火墻上單出口、多出口場景，配置服務(wù)器端口映射，外網(wǎng)無法通過映射訪問到服務(wù)器的可能原因總結(jié)

解決方案

單出口場景

1、安全策略。 未配置到服務(wù)器私網(wǎng)地址允許的安全策略

2、服務(wù)器沒有設(shè)置網(wǎng)關(guān)。通常判斷辦法，防火墻直接ping服務(wù)器可以ping通，帶出口地址作為源地址無法ping通服務(wù)器。

3、運(yùn)行商限制端口。常用五元組抓包或者五元組丟包統(tǒng)計(jì)來判斷報(bào)文是否到設(shè)備，如無計(jì)數(shù)，更換外部端口。（PS：不能以沒有會話表示設(shè)備沒有收到報(bào)文，沒有會話可能是被設(shè)備丟棄了）

4、服務(wù)器對應(yīng)軟件端口的服務(wù)未啟用�？梢栽趦�(nèi)網(wǎng)電腦訪問服務(wù)器私網(wǎng)地址，確認(rèn)下對應(yīng)的端口服務(wù)是否啟用。

5、服務(wù)器本身限制，僅允許同網(wǎng)段IP訪問。該問題可以在防火墻上配置一條外網(wǎng)到內(nèi)網(wǎng)的源nat策略，指定轉(zhuǎn)換為可以訪問的網(wǎng)段。

多出口場景

多出口在單出口的基礎(chǔ)上還可能存在如下原因

1、多出口未啟用源進(jìn)源出，導(dǎo)致回包從其他接口出去。

2、IP欺騙攻擊導(dǎo)致跨運(yùn)營商無法訪問。五元組丟包統(tǒng)計(jì)可以確認(rèn)