nat转换和acl配置方法

要使用防火墙进行NAT转换，并将外部固定地址映射到内部网络中的服务器，您可以按照以下步骤进行配置。以下示例假定您使用的是H3C防火墙，并且内部网络和外部固定地址分别在不同的接口上。

1. 配置外部接口：

   • 在防火墙上配置外部接口，并将其连接到电信提供的固定地址网络（192.168.100.0/24）。
   • 例如，使用以下命令配置外部接口为GigabitEthernet1/0/1，并分配固定地址：
     
     
     interface GigabitEthernet1/0/1 ip address 192.168.100.254 255.255.255.0 ​

2. 配置内部接口：

   • 在防火墙上配置内部接口，并将其连接到内部网络（172.16.20.0/24）。
   • 例如，使用以下命令配置内部接口为GigabitEthernet1/0/2，并分配内部地址：
     
     
     interface GigabitEthernet1/0/2 ip address 172.16.20.1 255.255.255.0 ​

3. 配置NAT转换规则：

   • 在防火墙上配置NAT转换规则，将外部IP地址映射到内部服务器IP地址。
   • 例如，使用以下命令配置NAT转换规则：
     
     
     nat address-group 1 192.168.100.254 nat outbound 1 interface GigabitEthernet1/0/1 nat server 1 protocol tcp global 192.168.100.254 8818 inside 172.16.10.251 8818 nat server 2 protocol tcp global 192.168.100.254 8819 inside 172.16.10.252 8818 ​

4. 配置访问策略：

   • 在防火墙上配置访问策略，允许外部用户访问映射的服务器端口。
   • 例如，使用以下命令配置访问策略：
     
     
     acl number 3000 rule 5 permit tcp destination ip 192.168.100.254 destination-port eq 8818 rule 10 permit tcp destination ip 192.168.100.254 destination-port eq 8819 # traffic classifier permit_tcp_8818 operator or if-match acl 3000 # traffic classifier permit_tcp_8819 operator or if-match acl 3001 # traffic behavior permit # traffic policy permit_tcp_policy classifier permit_tcp_8818 behavior permit classifier permit_tcp_8819 behavior permit # interface GigabitEthernet1/0/2 traffic-policy permit_tcp_policy inbound ​

请注意，上述配置仅供参考，具体根据您的网络环境和设备型号可能有所差异。建议在实际配置之前，详细查阅您使用的防火墙设备的官方文档，并根据最佳实践进行配置。此外，建议在配置之前备份您的设备配置，以防止配置失误导致网络故障。如果需要更详细的帮助或有其他问题，请咨询您设备厂商的技术支持。

直接nat outbound，安全策略里做限制就可以