网络排障：USG防火墙no-NAT策略不生效

拓扑如下，管理员将防火墙配置为对内部服务器 1 和服务器 2 进行 NAT，以便为 Internet 用户 (R1) 提供服务。并且服务器 1 被允许访问互联网，但服务器 2 不被允许。配置完成后，admin发现server 1和server 2都可以上网。

图 1：NAT 案例的拓扑

处理过程

1. 验证故障现象，服务器1和服务器2都能ping通R1路由器。
2. 检查防火墙上的 NAT 策略，以及服务器 2 是否被排除在 NAT 策略之外。

根据以上结果，服务器 2 被排除在 NAT 策略之外。

1. 检查 NAT 服务器配置，以及服务器 2 是否包含在 NAT 服务器配置中。

结果显示服务器 2 包含在 NAT 服务器范围内，并且管理员没有为 NAT 服务器配置启用 no-reverse 功能。

根本原因

在 USG 防火墙上配置 NAT 服务器时，设备会为每个服务器 NAT 表项生成两个 server-map 表项。

反向 server-map 条目允许 Intranet 服务器在不被 Internet 用户访问的情况下启动会话。另一方面，设备会将流量与源 NAT 策略之前的服务器映射表进行匹配。

因此，当服务器 2 发起 ping 会话时，流量将匹配反向 server-map 条目并生成会话表条目，并跳过 NAT 策略中的拒绝条目。

图 2. 反向服务器映射条目允许意外流量。

解决方案

取消已配置的 NAT 服务器配置，然后重新配置。为服务器 2 配置 NAT 服务器时，添加 no-reverse 参数，就像下面的例子：

[FW1] nat server global 1.1.1.4 inside 10.1.1.3 no-reverse