[FortiGate] 记录一次非标端口映射VIP故障处理案例

一、事件场景

分公司业务部新增一台数据采集器，需要接入DMZ网络，开放所需端口，由于采集器没有提供说明参数，只能在FortiOS中查看实际流量会话使用的端口号，因为分支办公室，仅有一台数据采集器，所以采用默认的VIP方式，直接添加后，配置放行策略。

二、故障现象

内部网络组中所有设备访问外网正常，策略组执行正常，新增的数据采集器在所属控制台显示状态正常，但是IT管理员无法远程访问FortiGate 7.0 FGT控制台。

三、故障排除

1.检查分支公司的网络ddns服务是否正常

结果：无异常

nslookup
server 223.5.5.5

经过解析，DDNS动态解析对应的IP地址正常，符合实际参数。

2.检测分支公司的外网FortiGate FW开放的端口号，是否开放。

结果：端口关闭，异常

在线端口扫描器 - 站长工具网 (zhanid.com)

扫描端口时因为有延时，可以多试几次，间隔几分钟。

3.检查FortiGate FW 中接口设置、系统管理设置

结果：无异常

show system interface port1

get router info routing-table all

4.检查FortiGate FW中放行策略，进行diagnose抓取

结果：异常

diagnose debug enable

diagnose debug flow filter addr xxx.xxx.xxx.xxx

diagnose debug flow show function-name enable

diagnose debug flow trace start 100

涉密信息，不展示，信息显示系统访问后，数据流都被转向内网中数据采集器，也就是说数据采集器独占了分支公司的外网IP的所有映射端口，包括FortiGate自身的访问流量。

四、故障清除

1.禁用网络策略中涉及数据采集器的策略

2.修改VIP配置，单独创建对应的多条IP与端口映射策略

3.在IPV4策略中关联新增的多条VIP策略，替换原策略并启用

故障清除，FortiGate FW远程访问恢复，修复完成。