对外映射端口后内网无法访问公网地址的原因和解决办法

很多时候我们在网络实施的过程中可能会遇见防火墙对外映射端口后，外网环境访问正常，内网环境无法访问的情况。
出现这种现象的原因1：、内网用户通过公网地址或域名访问内网服务器，源ip地址没有做nat转换，内网服务器的回包直接回给内网客户端，来回路径不一致导致丢包。

分析如下图：

原因1的解决方法：
处理来回路径不一致的问题，在防火墙上创建一条源nat策略，trust to trust做源nat装换，源nat可以转换为防火墙内网接口ip，也可以单独创建一个nat地址池地址范围为不存在的公网地址如1.1.1.1-1.1.1.10。

原因2：安全策略中没有放开内网到内网区域（trust-to-trust），这时会话表中都没有对应的会话信息。
原因2的解决方法：
在安全策略配置中添加允许trust-to-trust的安全策略。

原因3：存在策略路由将trust过来的包从指定接口转发出去了，导致无法访问。
原因3的解决方法：
创建一条策略路由内网访问内网不做策略路由，放在策略路由最前列。
针对这类问题可以通过查看防火墙会话表进行分析。

补充：
当外网存在多线路时，对外的映射端口，在外网无法访问时该映射，排查思路如下：
（1）检查映射的策略以及端口是否配置正确。
（2）检查安全策略是否放开外网访问内网的映射的端口。
（3）检查对应的公网接口下是否开启了源进源出。多外线情况下需开启源进源出。
（4）在防火墙上测试能否访问映射服务器的内网ip地+端口。
（5）如遇特定端口80,443，8080端口无法访问，是没有备案导致。

摘抄：CSDN（fzw5021）