[硬件资讯]
Juniper SSG5、Palo Alto PA-3020
[软or韧体版本资讯]
出厂默认值
[问题描述]
因内部有服务器要对外服务，透过SSG5使用MIP、VIP等方法对应到外部IP
以及使用PA-3020的Destination NAT
例如：内部网站服务器IP 192.168.1.100、外部IP 124.155.12.99
透过MIP对应外部IP到内部服务器IP或透过VIP对应外部IP的80埠到内部服务器IP的80埠
并在政策开放相对应的政策后
从外部依然无法连到内部网站服务器
从政策LOG看的到流量，但通通都是CLOSED-AGE OUT
(PA-3020是AGED-OUT)
例如
source 1.1.1.1 dest 124.155.12.99 port 80
translate source 1.1.1.1 translate dest 192.168.1.100 port 80
CLOSED-AGE OUT
有查过资料，但对于这个状况的解法非常的少
这状况是连线逾时，但我非常确定服务都有起来，内网透过内部IP连网站服务器也没问题
自己之前也遇过几次，但有时候没有修改什么就解决了
因此想请教各位先进
[已尝试过的方法]
政策重新设定、路由重新设定、更改线路
[其他线索]
还请各位先进不吝指导，感谢

简单的防火墙位置说明一下，不然很难给个建议吧？

大概是这样 https://i.imgur.com/g5v0jOe.png

2台防火墙一起用？还是这2台都有同样状况？

有两个一样的环境，但用不同的防火墙然后都有这状况

Source应该不是真的1.1.1.1吧外部先telnet port 80看连线有没有起来没有的话可能是rouring or policy or 去回不同路

sniffer firewall 内脚port的流量，确认封包有丢出来吗？

每只脚抓封包出来看最准

telnet 没有通，那应该是找不到回去的路

看的到aged out通常都是封包回不去

是用google 浏览器？开http的1.1.1.1

先看server吧肯定防火墙没问题然后你的wan几条server确定服务有对外？