防火墙F-1000，限制单个公网ip访问内网同个ip不同端口的服务器

1、端口映射配置：

1.20.4  外网用户通过外网地址访问内网服务器配置举例

1. 组网需求

某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中，内部FTP服务器地址为10.110.10.3/16，内部Web服务器1的IP地址为10.110.10.1/16，内部Web服务器2的IP地址为10.110.10.2/16，内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能：

·            外部的主机可以访问内部的服务器。

·            选用202.38.1.1作为公司对外提供服务的IP地址，Web服务器2对外采用8080端口。

2. 组网图

图1-11 外网用户通过外网地址访问内网服务器配置组网图

3. 配置步骤

# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达，具体配置步骤略。

# 进入接口GigabitEthernet1/0/2。

<Device> system-view

[Device] interface gigabitethernet 1/0/2

# 配置内部FTP服务器，允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp

# 配置内部Web服务器1，允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http

# 配置内部Web服务器2，允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http

# 配置内部SMTP服务器，允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp

[Device-GigabitEthernet1/0/2] quit

2、限定固定ip地址访问问题

通过配置acl可实现

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule permit ip source X.X.X.X X.X.X.X destination X.X.X.X X.X.X.X

将acl调用在外网口的入方向

参考如下：

int g1/0/1

packet-filter 3001 inbound