迪普防火墙SNAT策略配置问题

迪普防火墙FW1000：如下报错，并且公网ip无法ping通，未做任何限制

一直想不出来啥毛病，然后某映射服务器经常也访问异常，防火墙外网抓包如下：有意思的是它匹配到了一条内网设备的DNAT会话，但是这条DNAT条目我并未配置：

打400电话， 400看了一遍说SNAT策略配置造成了该问题：
原配置截图：

故障原因解释：NAT设备转换之后建立一个转换后，IP+port与发起方IP+port的映射关系，在老化期内任何位于转后IP侧的IP都可以通过访问该转换后IP+port发送流量至发起方IP+port ，ping公网IP的流量，命中圆锥nat的表项了，执行了目的转换；其余情况比如映射了一个大于1024端口的DNAT它也会导致SNAT接口冲突，导致原DNAT业务异常。

简单来说，圆锥型NAT和对称型NAT的核心区别在于端口映射的“复用”规则。圆锥型NAT会为同一个内网会话（IP和端口）复用一个固定的公网端口，而对称型NAT则会为每一个不同的通信目标分配一个全新的端口。

圆锥型NAT：就像用一把“通用钥匙”，可以打开通往多个外部服务器的通道，无论跟谁通信，暴露在外部的“门牌号”（公网IP和端口）都是同一个。它可细分为安全要求逐级提高的完全、地址限制和端口限制锥形三种类型。

对称型NAT：更像是用一把“一次性钥匙”，每访问一个不同的外部服务器，它都会换一个新端口，如同一间屋子为了不同客人打开不同的门。这种设计显著提高了安全性。

为了更清晰地说明两者的区别，可以看看它们在主要维度上的对比：

NAT类型的选择，本质上是在易用性和安全性之间做权衡。圆锥型NAT（尤其是全锥型）为P2P应用和游戏联机提供了最大便利，而对称型NAT则代表着当前网络环境中最高的安全等级。

解决方案：将SNAT类型从圆锥NAT改为对称NAT（并非一对一NAT）；已有会话不会中断，会话过期或者新建会话将匹配新的SNAT策略,所以大胆修改。

这个时候由于原来192.168.10.25的ICMP会话还有，需要将对应ICMP会话删除，外网就能PING通，在这里删除会话：