静态nat访问限制策略

要限制特定公网IP访问您的静态NAT映射（nat static outbound），需结合ACL（访问控制列表）和reversible参数实现。以下是具体配置步骤和逻辑说明（以接口GigabitEthernet1/0/1为例）：

配置步骤

1. 创建ACL规则
   定义允许访问的公网IP范围（例如仅允许202.38.1.200访问）：

   acl advanced 3000 # 创建高级ACL rule 0 permit ip source 202.38.1.200 0 destination 公网IP 0 # 允许指定源IP访问目的公网IP rule 5 deny ip # 拒绝其他所有IP

   说明：

   • destination需填写NAT映射后的公网IP（如202.38.1.100）。
   • 若允许多个IP，重复添加rule permit条目。

2. 绑定ACL到静态NAT并启用反向转换
   在现有静态NAT配置中关联ACL，并添加reversible参数：

   nat static outbound 私网IP 公网IP acl 3000 reversible # 关键步骤：添加ACL和reversible

3. 确保接口启用静态NAT（如已配置可跳过）：

   interface GigabitEthernet1/0/1 nat static enable

4. 配置安全策略放行流量
   在安全策略中允许Untrust到Trust的指定流量：

   security-policy ip rule name "Permit_NAT_Access" source-zone Untrust destination-zone Trust source-ip 202.38.1.200 # 匹配ACL中允许的源IP destination-ip 私网IP # 目的IP为映射前的私网IP action pass

关键原理

• ACL反向匹配机制：
  当公网IP访问映射地址时，设备会提取报文源IP（公网客户端IP）和目的IP（NAT公网IP），并根据ACL规则反向匹配（互换源/目的IP），仅允许匹配permit规则的流量进行目的地址转换。
• reversible参数作用：
  启用后，ACL规则同时控制出方向转换（私→公） 和 入方向转换（公→私），否则仅控制出方向流量。

验证方法

• 允许的IP访问测试：
  使用202.38.1.200访问公网IP 202.38.1.100应能连通。
• 禁止的IP访问测试：
  使用其他IP（如202.38.1.99）访问将不通，且设备无相关会话日志。
• 查看NAT状态：display nat static # 检查ACL和reversible配置是否生效 display nat session verbose # 观察会话的源/目的IP转换是否合规

注意事项

• 安全策略联动：若未配置对应安全策略（Permit_NAT_Access），即使NAT转换成功，流量仍会被安全策略阻断。
• 替代方案：若场景复杂（如需精细化控制端口），可改用nat server方案：nat server global 公网IP protocol tcp inside 私网IP acl 3000 # 直接通过ACL限制访问IP

以上配置基于H3C V7防火墙体系，实际CLI界面可能存在版本差异，请以设备实际支持命令为准。