两个局点之间建立ipsec隧道进行通信的时候。正常需要对保护的感兴趣流量在nat outbound中进行deny处理，如下这样配置正常能够保护192.168.2.0/23 去往192.168.0.0/16的流量走ipsec隧道。但是如果本端的源地址作为映射后的地址使用，且映射时添加了

IPSec故障处理

• 引言

获取所有可用区域：

firewall-cmd --get-zones

block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。

dmz –经典非军事区（DMZ）区域，它提供对LAN的有限访问，并且仅允许选定的传入端口。

drop –丢弃所有传入网络连接，并且仅允许传出网络连接。

external-对于路由器连接类型很有用。您还需要LAN和WAN接口，以使伪装（NAT）正常工作。

home –适用于您信任其他计算机的局域网内的家用计算机，例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。