F100-C-G5内网服务器无法外网访问

检查配置哦或wan口线路情况吧

能详细说一下吗？这样描叙的不清楚。

参考手册 3.19.7 内网用户通过NAT地址访问内网服务器配置举例

• 确认区域间策略：确保已创建允许从 Untrust（外网）到 Trust（内网）的安全策略，并且放行了目标服务器的具体 IP 和端口。
• 临时测试法：在排查期间，可以临时创建一条宽松的 any-to-any（任意访问任意）策略进行测试。如果开启后外网能够正常访问，则说明问题确实出在具体的安全策略拦截上，后续再细化策略即可。

• 核心原因：外部用户通过 A 线路进来，但服务器的回包却错误地从 B 线路发出，源地址不匹配会被直接阻断。
• 解决方法：在连接内网的接口下开启“保持上一跳”功能（命令参考：ip last-hop hold），强制让服务器的回程流量原路返回；或者为服务器流量配置精细的策略路由（PBR），明确指定出接口。

• 排查建议：请检查设备上的全局 NAT 策略。如果存在通配规则（如匹配所有源/目的地址），可能会意外拦截并影响您的服务器流量，导致您在接口下配置的 NAT Server 失效。

• 公网 IP 有效性：确认分配给防火墙外网口的 IP 是真实的独立公网 IP。若 WAN 口获取的是 100.64.x.x 等运营商大内网保留地址，端口映射将无法生效。
• 服务器网关检查：确认内网服务器的默认网关指向了该防火墙的内网接口，且服务器自身的本地防火墙（如 Windows Defender 或 iptables）已放行对应端口。
• 端口连通性测试：在外网使用 telnet <公网IP> <端口> 命令进行精准测试，以判断是单纯的网络层不通，还是应用层服务未启动/监听异常。

H3C F100-C-G5 内网服务器外网无法访问完整排查（公网发布 WEB 标准排障流程）
一、先梳理业务必备 4 个核心配置，缺任意一条都无法外网访问 WEB
1. 公网地址 NAT Server（服务器发布，必配）
将公网 IP 端口映射到内网服务器 IP+80/443
bash
运行
system-view
# 假设：公网出口GE0/0，公网地址203.0.113.10，内网服务器192.168.1.100 80端口
nat server protocol tcp global 203.0.113.10 www inside 192.168.1.100 www
# 若用出口接口动态公网（PPPoE拨号无固定公网IP）
nat server protocol tcp global current-interface www inside 192.168.1.100 www
2. 安全域放通策略（最常见漏配项）
外网 Untrust 域 → 内网 Trust 域，放行目的为服务器的 TCP 80 流量
bash
运行
security-policy
rule 10 permit source-zone untrust destination-zone trust destination-address 192.168.1.100 0 port eq 80 protocol tcp
3. 服务器回程路由（防火墙内网可达服务器）
防火墙 Trust 接口网段与服务器同网段；若跨三层，防火墙必须有到服务器网段静态路由
bash
运行
ip route-static 192.168.1.0 255.255.255.0 192.168.1.1 # 下一跳内网网关
4. 服务器网关指向防火墙内网口
服务器网卡网关必须填写防火墙 Trust 接口 IP，回程流量必须经过防火墙，否则 NAT 回程报文丢失，外网打不开页面。
二、分层定位故障（由外到内排查）
层级 1：外网侧连通性测试（区分是运营商还是防火墙问题）
电脑手机切 4G 流量（不能连内网 WiFi），telnet 公网IP 80 测试端口通不通
能通：NAT / 安全策略没问题，问题在内网服务器服务、防火墙回程路由
连接拒绝 / 超时：防火墙拦截、NAT 配置错误、运营商封 80 端口、公网 IP 不通
排查运营商限制
家用宽带 / 部分政企专线运营商封禁 80、443 标准端口，外网无法访问，需更换映射端口（如 8080→80）
bash
运行
nat server protocol tcp global 203.0.113.10 8080 inside 192.168.1.100 www
公网 IP 是 CGNAT 大内网（运营商二级 NAT），无公网真实地址，外部无法主动入站访问，需申请公网独立 IP。
层级 2：防火墙 NAT 配置校验
查看 NAT Server 条目是否存在、生效
bash
运行
display nat server
检查：协议 tcp、全局公网 IP / 端口、内网服务器 IP 端口是否完全正确。
2. 开启 NAT 调试，外网访问时抓报文看转换是否正常
bash
运行
debugging nat packet
terminal debugging
terminal monitor
有 Global->Local 转换日志：NAT 转发正常，故障在安全策略 / 服务器
无任何转换日志：外网流量没进到防火墙，运营商拦截或公网链路故障
层级 3：安全策略拦截排查（90% 客户故障点）
查看安全策略匹配计数，确认外网 80 流量是否被允许
bash
运行
display security-policy rule all
查看对应允许规则的 Hit count 命中数：
Hit 计数持续上涨：流量正常放通
Hit 计数 0：流量没匹配这条规则，策略源 / 目的域、地址、端口写错，或存在 deny 优先级更高的规则拦截
快速临时测试（生产谨慎使用）
新建全放通规则，验证是否为策略限制：
bash
运行
security-policy
rule 0 permit source-zone untrust destination-zone trust
测试外网能访问 = 原有策略配置错误；依旧不能访问 = 问题不在安全策略。
层级 4：内网侧服务器连通性排查
在防火墙本机 ping 内网服务器 IP，能通代表三层路由正常
bash
运行
ping 192.168.1.100
ping 不通：内网交换机 VLAN、路由、服务器防火墙拦截。
2. 防火墙内网口 telnet 服务器 80 端口，测试 WEB 服务是否正常运行
bash
运行
telnet 192.168.1.100 80
连接成功：WEB 服务正常
连接拒绝：服务器未启动网站、服务器系统防火墙拦截 80 端口（Windows 防火墙 /iptables）
服务器网关校验
服务器执行 ipconfig/route -n，确认默认网关是防火墙 Trust 接口 IP；网关错误会导致外网请求到达服务器后，回程流量不经过防火墙，NAT 无回程转换，页面无法打开。
层级 5：特殊场景：内网同网段用公网 IP 访问（Hairpin NAT 回流问题）
客户内网电脑用公网域名 / IP 打不开服务器，外网正常，需要配置内网回流 NAT：
bash
运行
# 内网Trust域访问公网IP时，二次NAT转回内网服务器
nat hairpin enable
# 内网安全策略增加trust访问trust放行
security-policy
rule 20 permit source-zone trust destination-zone trust destination-address 192.168.1.100 0 port eq 80 protocol tcp
三、高频故障速查对照表
表格
现象 根因 解决办法
外网 4G 完全超时，telnet 端口不通 1. 运营商 CGNAT 无公网
2. 运营商封 80 端口
3. 出口链路断 1. 申请独立公网 IP
2. 映射非标准端口 8080
3. 检查运营商线路
telnet 公网端口拒绝，防火墙无 NAT 日志 NAT Server 配置错误 / 未创建 核对 nat server 全局 IP、端口、内网 IP
NAT 有转换日志，但页面打不开 安全策略未放行 untrust→trust 80 新增允许外网访问服务器的安全策略
防火墙能 ping 通服务器，但外网无法访问 服务器系统防火墙拦截 80 / 网关错误 关闭服务器防火墙，修改网关为防火墙内网口
外网能访问，内网电脑用公网 IP 打不开 缺少 hairpin 内网回流 NAT 开启 nat hairpin enable，新增 trust 互访策略
间歇性打不开页面 会话表满、安全策略存在 deny 规则 display session table 查看会话数量，调整规则优先级
四、完整标准发布配置模板（F100-C-G5 V7 通用）
bash
运行
# 1. 接口域划分
interface GigabitEthernet 0/0
port link-mode route
nat outbound
security-zone untrust
ip address 203.0.113.10 255.255.255.0

interface GigabitEthernet 0/1
port link-mode route
security-zone trust
ip address 192.168.1.1 255.255.255.0

# 2. 静态路由（服务器跨网段时配置，同网段可省略）
ip route-static 192.168.1.0 255.255.255.0 NULL 0

# 3. NAT服务器发布
nat server protocol tcp global 203.0.113.10 www inside 192.168.1.100 www

# 4. 外网访问安全策略
security-policy
rule 10 permit source-zone untrust destination-zone trust destination-address 192.168.1.100 0 service protocol tcp port 80

# 5. 内网回流（可选，内网需公网IP访问时添加）
nat hairpin enable
rule 20 permit source-zone trust destination-zone trust destination-address 192.168.1.100 0 service protocol tcp port