通过防火墙端口映射出现问题

由于公司是内外网物理隔离，所以公司的OA系统只能在内部使用。但是大领导要求在家也能看到OA，于是在OA服务器上启动了另一块网卡，连接到外网的交换机上，并且配置了IP地址，通过在cisco ASA5510防火墙上做SSL vpn可以进行访问，但是出现了个问题，现在的笔记本自带的大多是win7的系统，经查，该款防火墙的ssl vpn不支持win7，即使下载了所说的支持win7的client，也还没有成功。于是只能选择稍微不安全的一种方法就是进行端口映射，把OA服务器的www端口映射出去，时常更换一下端口就可以了。此种方法不受系统的影响，可以正常访问。后来由于公司网络改造，上了三层设备，重新划分了vlan，OA服务器的内网IP地址也进行了更改（以前只是一个网段，都没设置网关），并且OA系统又增加了一些新的功能。

最近领导突然说外网登陆不了OA了，让查原因。发现通过vpn还是可以登陆，但是端口映射的方式确实登陆不了。但是网络配置没有更改过，怎么突然就登陆不了了呢？我又用相同的配置进行其他机器的端口映射，能够正常使用，相关配置如下

static (inside,outside) tcp interface 1111 10.10.10.222 www netmask 255.255.255.255   -----该条是OA端口映射

static (inside,outside) tcp interface 1221 10.10.10.111 3389 netmask 255.255.255.255  ----该条是后来增加的一条测试的端口映射
一样的格式，后者就能正常使用，前者就不行。

咨询了cisco方面的朋友，都表示如此配置没有问题，那问题就应该出现在服务器端的配置。咨询OA厂家，是否对端口做了什么安全措施，回答也没有。静下心来考虑一下，这之间做过改动的也就是IP地址的配置和OA增加新功能而已，既然厂家保证没有相应的措施，那么问题应该出现在IP地址上。为了验证我的想法，把内网的IP地址禁用，在外网登陆，正常！看来就是IP地址惹的祸，由于之前内网就一个网段，所以没有设置网关，外网的网卡设置了网关，后来增加了三层交换机，划分了vlan，设置了网关，导致一个机器出现了两个网关，数据不知道如何进行转发。在网上查找相关资料，进行手工设置网关，在服务器上进行具体配置如下：

route delete 0.0.0.0                                                          // 删除默认网关 
route -p add 0.0.0.0 mask 0.0.0.0 10.10.10.1           // 增加默认网关到外网的网关
route -p add 10.20.0.0 mask 255.255.0.0 10.20.20.254       // 内网的地址走内网的网关

经试验，正常使用。

本文出自 “零零吧” 博客，请务必保留此出处http://00eight.blog.51cto.com/202199/442181