h3c secpath f100 -c80-winet防火墙nat 配置不生效

端口映射不成功的常见原因及处理方法，如下：

(1)     运营商原因

这种原因比较常见，问题现象：例如NAT配置中端口映射的外部端口为80，无法映射成功，但内网PC之间访问正常。

处理方法：联系运营商确认指定端口是否可用或者将映射的外部端口更换为其它端口。更换映射外部端口的具体方法：在设备Web管理页面的导航栏中选择“网络设置>NAT配置”，点击端口映射列表中指定端口映射对应的修改图标，在修改端口配置对话框中，更改外部端口的起始端口号和结束端口号，点击<确定>按钮完成配置。如果指定唯一的外部端口，请将起始端口号和结束端口号设置为同一数值即可。

验证方法：选择将外部端口更换为其它端口（如8099）。当外网PC远程访问内网时，格式为：http://ip-address:8099，测试访问是否正常。如果不能正常访问，则说明问题不是该原因引起。

(2)     服务器配置原因

问题现象：内网PC之间访问正常，但外网通过端口映射访问内网不成功。

处理方法：检查服务器配置，重点检查安全策略和防火墙设置，确认是否存在开放非本地网段的访问权限或者其它安全策略的设置问题。

验证方法：

a.     在Windows操作系统的客户端主机和内网PC上，右键点击“我的电脑”，选择“属性”菜单项，在左侧菜单栏中选择“远程设置”菜单项，在系统属性对话框中单击“远程”页签，勾选“允许远程协助连接到这台计算机”选项，点击<应用>按钮设置完成。

b.     在路由器上配置端口映射的外部端口为3389，配置端口映射的具体方法：在设备Web管理页面的导航栏中选择“网络设置>NAT配置”，点击<添加>按钮，在添加NAT端口映射对话框中，选择接口、协议类型和外部地址，将外部端口选择为“自定义端口”，将起始端口号和结束端口号都设置为3389，根据实际情况设置内部地址和内部端口后，点击<确定>按钮完成端口映射的配置。

c.     测试路由器的端口映射功能是否正常。验证外网PC是否能够远程登录内网PC。

(3)     端口未全部映射原因

问题现象：内网PC之间访问正常，一对一NAT也正常，但外网通过端口映射访问不成功。

处理方法：某些应用（如语音、监控系统等）在使用过程中需要用到多个端口进行通信，请使用抓包的方式，确认设备上是否配置应用通信所需的全部端口，以及是否均已设置映射。

验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT，但外网地址不能是WAN口地址，测试访问是否正常。如果不能正常访问，则说明问题不是该原因引起。

(4)     配置问题

问题现象：设备的防火墙、MAC过滤等规则中添加了过滤规则，阻止了映射端口或者映射服务器的正常通信。

问题产生原因：一般情况下，此类问题是由防火墙配置了入站或者出站通信策略引起的。

处理方法：检查设备规则类相关配置，确认是否过滤了映射的端口或者服务器。

验证方法：通过禁用防火墙、MAC过滤等功能来测试。