防火牆NAT轉換的一次診斷

客戶要上移動辦公應用，用CISCO PIX506E簡單隔離無線連線的電腦和內網伺服器，對伺服器地址作了靜態NAT轉換。

設定好客戶端電腦後，除更新服務不成功外，應用系統可以正常使用。

從應用系統軟體開發人員處瞭解到，更新服務採用了FTP方式。

從客戶端直接在DOS COMMAND視窗中，直接用FTP命令連線FTP伺服器，輸入使用者名稱密碼後，連線成功，但有關遠端的命令，如dir等都失敗，提示沒有資料連線。

換了一臺在內網的桌上型電腦，用FTP命令連線FTP伺服器，同樣可以連線成功，但不能建立資料連線。

登入FTP伺服器檢查，發現所用的FTP伺服器不是標準的，也是軟體公司的定製軟體。

以前在配置TUXEDO伺服器時，也遇到過透過防火牆的NAT轉換後，客戶端不能連線TUXEDO伺服器的問題，只要配置一下TUXEDO的引數，指明NAT轉換後的地址後，就能解決問題。因此開始也懷疑是否在FTP軟體中用到了連線的IP地址，導致資料包無法透過防火牆的NAT轉換。

在客戶端啟動更新的同時，檢查防火牆的連線和NAT情況，沒有更多有助解決問題的資訊。

在檢查防火牆的同時，也在FTP伺服器上，用NETSTAT –AN命令檢查客戶端和伺服器之間的連線，除了已建的連線外，還發現了一個新的連線，是另一個IP與客戶端IP的，狀態是SYN-SENT，到此，原因找到，問題可以解決了：換用伺服器的另一個IP做NAT轉換。

其實，問題的根源在於，伺服器配置了多個IP。

客戶想透過Symantec的Storage Foundation實現WINDOWS SQL Server的HA，開始做NAT轉換的IP，是最終系統HA的VIP，只不過現階段在HA實施前，直接作為Second IP的配置在了網路卡上，導致了問題的發生。

其實，即使這次不做這個專案不發現這個問題，最終HA實施後，一旦發生HA切換，FTP服務也會停止工作，因為HA無法把FTP服務也切換了。