由于未正确配置nat server导致Trust域用户不能访问DMZ服务器

问题描述

  如图所示，一台部署在企业出口，企业内部用户属于Trust区域，通过接口GE0/0/2与连接。FTP服务器等服务器属于DMZ区域，对外部和内部网络提供FTP等服务，通过接口GE0/0/1与连接。的接口GE0/0/3与Internet连接，属于Untrust区域。
防火墙上启动NAT功能。相关配置如下：
[sysname-interzone-trust-untrust] nat outbound 2000 address-group 1
[sysname] nat server global x.x.x.x inside 192.168.2.2
其中，211.1.1.8是FTP服务器的公网IP地址。
配置完成后，Trust区域的用户无法访问FTP服务器的私网地址192.168.2.2，只能访问其公网地址x.x.x.x。

告警信息

无

处理过程

  修改nat server命令，添加zone关键字。将该命令只应用到DMZ和Untrust域间。[sysname] nat server zone untrust global  x.x.x.x inside 192.168.2.2

根因

在配置命令nat server时没有指定zone关键字，nat server命令应用到了Trust和DMZ域间。造成Trust区域用户必须访问公网地址才能命中会话表。

建议与总结

在DMZ区域配置nat server时，如果需要Trust区域的用户用私网地址访问FTP服务器，必须配置zone关键字。