某地政府部门A与部门B之间需要建立连接，部门A需要访问部门B的某网站，在部门A与部门B之间使用防火墙进行隔离并使用目的NAT功能。

   如图，防火墙左边为部门A，右边为部门B，防火墙由于没有规划互联地址，使用终端网段内一地址作为接口地址，并用此地址作为目的NAT使用。终端访问151接口地址，经过NAT转换后，转为访问部门B服务器。

   防火墙配置完成后，测试PING正常，远程桌面正常，但是WEB访问不通。检查防火墙配置未发现问题，在 部门B网络内访问WEB服务正常。将终端的网关由254改为151后，WEB访问正常，但显示网页的IP地址是B部门服务器的真实地址。

在终端上进行抓包，发现服务器返回的报文内，有重定向的信息，告诉终端访问网页的实际地址。

   结果终端不再访问防火墙接口地址，而是直接访问真实地址。核心交换机上并没有此条路由，所以不会通，而将网关指定在防火墙上则不需要路由了，可以访问。此问题无法从网络层面进行解决，只能交给WEB维护人员修改。并不是所有网站都有此种情况，具体何种网站会使用到此技术，本人并不十分了解。大家可以试试，在网页里直接访问www.baidu.com,实际弹出的却是https的页面。

   上述问题，由于防火墙的配置并没有十分严格的做安全策略控制访问，反而帮助了问题的排查定位，否则即使将网关设置为防火墙的接口地址也是不会通的。在实际中，我们还是希望将防火墙的安全策略进行严格配置，只放行需要通过的流量，但为了排错需要，可以临时使用全放行的策略进行排查，在排查完成后一定要关闭此策略。

   最后关于抓包，其实并不是非要把TCP/IP这样的理论书看的多深入才能去看，只要敢于去看，多查查资料，都是可以看出一些东西的。