多出口防火墙同时有nat与策略路由导致的外网无法访问
防火墙连接两个出口,一个为电信路由,一个为教育网路由。防火墙内FTP服务器内网地址经过教育网路由nat后,对外提供服务。当外部用户数据包到达教育网路由时,目的地址nat成内网地址,到达服务器进行处理。数据包返回时,目的地址为用户外网地址,源地址为FTP本机内网地址。由于设置了策略路由,源地址为FTP本机地址的数据包将走向电信出口,无法流向教育网出口,导致从教育网进入访问FTP的用户无法得到回程数据
策略路由、路由与NAT的顺序
Inside-to-Outside?If IPSec then check input access list ?decryption - for CET ?check input rate limits ?input accounting ?policy routing ?routing ?redirect to web cache ?NAT inside to outside (