最近，我所有 LAN 服务器的出站访问都停止工作。我有一个运行 12.3(4r)T3 的 7206VXR，它有一个使用 RFC 1918 IP 寻址的 LAN 接口，以及一个使用静态路由到我们 ISP 的 WAN 连接。我正在尝试查看配置中是否存在因果错误，或者是否是最近的 ISP 更改。

WAN 接口标记为“ip nat outside”，LAN 接口标记为“ip nat inside”。在这个例子中，假设我们分配的外部 IP 块是 100.100.100.0/24，它被路由到我们假设的 WAN IP 20.20.20.194。

广域网：

interface GigabitEthernet0/2
  description WAN connection. ISP is 20.20.20.193
  ip address 20.20.20.194 255.255.255.248
  ip access-group 120 in
  ip nat outside
  duplex full
  speed 1000
  media-type rj45
  no negotiation auto
  no keepalive
  no cdp enable
 [...]
ip route 0.0.0.0 0.0.0.0 20.20.20.193

局域网：

interface GigabitEthernet0/3
 description Primary LAN
 ip address 192.168.49.1 255.255.255.0
 ip nat inside
 duplex full
 speed 1000
 media-type rj45
 negotiation auto
 no cdp enable

我有很多用于 NAT 的行。这里有几个（IP是代表）：

ip nat inside source static 192.168.49.10 100.100.100.10
ip nat inside source static 192.168.49.117 100.100.100.117
[...]

还有一个出站 ACL：

access-list 120 permit ip any any established
access-list 120 permit ip any host 100.100.100.117 eq 80
access-list 120 permit ip any host 100.100.100.117 eq 22
[...]
access-list 120 deny   ip any any

我的问题是我可以通过 ssh 访问 100.100.100.117 的网络服务器就好了。但是，一旦我通过 ssh 进入，我就无法 ping、traceroute 或以其他方式访问 LAN 之外的任何内容。

几天前这工作正常，并且没有对配置进行重大更改。ISP 在断开旧电路的连接方面做了一些工作，但我已经删除了该 CCT 的路由以及其网络的其余几条 NAT 线路（我们正在运行 2 个传入的 ISP）。

所以问题的关键是，我是否需要做其他任何事情才能使 NAT 出站工作？当它起作用时，我已经创建了 NAT 条目，以便 Internet 访问我内部主机上的服务。除非有 NAT 条目，否则我无法从 LAN 设备进入 WAN，并且我没有为每个主机创建转换，而是有一个代理主机，我的大多数 linux 服务器用于操作系统更新、安装等. 但即使在少数具有直接 NAT 转换的主机上，我也无法 ping、traceroute 或以其他方式访问 Internet。

我很确定 ISP 已经做了一些事情，但我只是想问问小组我发布的配置的相关部分是否有任何错误或缺失。

谢谢。