我正在使用 Fortinet 311B 防火墙，并且无法理解为什么此流量被阻止。

对于指向内部 Web 服务器的外部 IP 地址，存在访问规则和匹配的 NAT 语句。外部用户（通过互联网）可以毫无问题地访问该网站。

内部用户使用的是内部 DNS，它将相同的主机名解析为私有 IP 地址，提供对网站的直接访问，这可以正常工作。

通过 FortiAP 连接并通过单独的“无线”接口进入 Fortinet 的无线用户拥有完全独立的子网，并且不允许任何 LAN 访问；仅限互联网。当他们尝试连接到网站主机地址时，它会失败。由于它们仅用于 Internet，因此它们使用外部 DNS 并解析外部 IP 地址。Web 服务器的这个外部 IP 地址是连接到外部接口的 Fortinet 上的虚拟 IP，与内部 Web 服务器具有 1 对 1 的 NAT。

我尝试创建 ACL 条目以允许从无线接口到外部接口的流量，甚至为此流量设置“NAT 0”规则，但我想知道这里是否还有其他一些安全功能在起作用，据我所知防火墙不一定喜欢这种“发夹式”流量。我检查了日志，但没有看到任何有趣的流量出现。

有人有想法么？