外网墙内部接口开启端口回流并放通策略即可

内网用户通过公网IP访问内部服务器的问题，通常称为 NAT回流（NAT Hairpinning）。在你有“内网墙”和“外网墙”两台设备的情况下，关键是在处理内网用户流量的设备上解决这个问题。

这意味着，外网墙上只需要完成“端口映射”，而内网墙则需要配置“NAT回流”。两者需要配合安全策略，共同打通访问路径。

 地址转换流程（以访问web服务为例）

1. 内网用户数据包发往目标 2.2.2.2:8080。

2. 内网墙将源IP转换为接口IP 10.1.1.1，并根据你选择的方案对目标进行处理（具体见下文）。

3. 数据包路由到外网墙。

4. 外网墙进行NAT Server转换，将目标IP改为 192.168.88.1:80。

5. 数据包到达内网服务器。

6. 回程数据包原路返回，经NAT反向转换。

解决这个问题，你有两种主要的配置路径可选。

路径一：推荐 | NAT Hairpin（配置更简单）

这是H3C官方*推荐的配置方式。它的核心思路是，在内网墙上开启一个“转弯”功能，让发往外网墙的流量，直接在内网墙就进行了地址转换。这种方式配置工作量小，逻辑也更清晰。

内网墙（MSR/设备A）的配置

1. 基础配置：确保接口IP、安全域、路由基础配置正确，并能访问外网墙的内网IP 10.1.1.2。

2. 配置安全策略（关键前提）：必须配置安全策略，放行从内网PC所在区域到外网墙所在区域的流量。

3. 开启 NAT Hairpin 功能：登录设备，进入连接PC的内网接口视图（非外网接口），输入以下命令：interface GigabitEthernet0/1 # 连接内网PC的接口

   nat hairpin enable quit开启此功能后，发向外网墙的流量会在内网墙上完成源地址转换（SNAT），确保来回路径一致。

4. （必须）配置源 NAT：在内网墙上为出站流量配置常规的 NAT 地址转换，用于转换内网PC的源IP地址。它可以通过 NAT 地址池或 Easy IP（直接使用接口IP）来实现。

外网墙（F1000-T200/设备B）的配置

外网墙上只需进行常规的端口映射和必要安全策略，配置与常规“端口映射”场景完全相同，无需特殊处理：

1. 配置端口映射（NAT Server）：在外网接口下，将公网IP 2.2.2.2 的 8080 端口，映射到内网服务器 192.168.88.1 的 80 端口：

   
   

   interface GigabitEthernet1/0/1 # 外网接口 ip address 2.2.2.2 255.255.255.0 nat server protocol tcp global 2.2.2.2 8080 inside 192.168.88.1 80 quit此命令等价于 nat server port-map。

2. 配置安全策略：确保从内网墙所属安全域（如“Trust”）到外网墙外网接口所属安全域（如“Untrust”）的策略，允许目的地址为服务器内网IP 192.168.88.1、端口为 80 的流量通过。这是保障内网访问服务器的一环。

路径二：备选 | 双向NAT（配置更复杂）

这是另一种常用方法，核心是在内网墙上同时对数据包的源IP和目标IP进行转换，但需注意规则顺序可能导致冲突。它更适合在不支持 nat hairpin 或需要特殊功能的场景下使用。

内网墙（MSR/设备A）的配置

1. 创建高级 ACL：匹配去往服务器的流量（注意：此时目标是服务器的公网IP）：

   
   

   acl advanced 3100 rule 0 permit ip destination 2.2.2.2 0

2. 在同一出接口（内网接口）配置源 NAT：

   interface GigabitEthernet0/1 # 连接内网PC的接口 # 对符合ACL 3100的流量，将源IP转换为本接口的IP（Easy IP） nat outbound 3100 # 同时配置目的NAT，将目标公网IP 2.2.2.2 的8080端口映射为服务器内网IP nat server protocol tcp global 2.2.2.2 8080 inside 192.168.88.1 80 quit，这相当于在内网墙上“克隆”了外网墙（设备B）上的NAT Server配置，共同完成双向转换。

外网墙（F1000-T200/设备B）的配置

外网墙的“端口映射”和安全策略配置与“路径一”完全相同，无需额外调整。

H3C F1000-T200 两台防火墙串联，内网用户用外网公网 IP + 端口访问内部业务

核心结论

1. 外网墙做端口映射 + 外网墙配置 NAT 回流（推荐、最标准）
2. 不用回流，内网墙写静态路由指向内网业务真实地址，绕开公网 IP 解析（适合不方便配回流）

• 外网墙要能识别：内网来的公网 IP 访问，转回内部服务器
• 否则路由环路、或者匹配不到映射直接丢包

方案一：外网墙 端口映射 + NAT 回流（双向转换，最优）

拓扑梳理

一、外网防火墙配置（关键）

1. 配置服务器静态端口映射（目的 NAT / 端口映射）

2. 开启 NAT 回流（必开，解决内网用公网 IP 访问）

3. 安全策略放行

• 外网域 → 内网域：放行 TCP 8080
• 内网域 → 外网域：放行任意 / 业务端口
• 放行 内网域 访问 外网域公网 IP 的策略

4. 路由

二、内网防火墙配置

1. 默认内网域→外网域放行
2. 默认路由指向外网防火墙三层接口
3. 无需特殊回流、无需策略 NAT

方案二：不做回流，内网 DNS / 路由绕开公网 IP（备选）

1. 内网 DNS 把域名内部解析成服务器真实内网 IP，不走公网 IP
2. 内网防火墙写静态路由，业务域名内网直连真实地址
   优点：不用配回流、无双向 NAT
   缺点：内网外网 DNS 要拆分维护

你问的关键点回答

1. 是否要做策略 NAT 双向地址转换？

2. 是接口 NAT 映射 + 回流 + 安全策略？

• 外网墙：nat static 端口映射
• 外网墙：nat hairpin enable 开启回流
• 外网墙：域间安全策略放行
• 内网墙：只做透传和默认路由，不用额外 NAT

3. 为什么必须开 hairpin？

极简配置总结

1. nat static inbound tcp 公网IP 端口 内网服务器 端口
2. nat hairpin enable
3. 安全策略放行、回程路由指向内网墙