H3C SecPath F1000-T200安全网关映射端口到公网

nat server protocol tcp global current-interface  62121   inside 192.168.88.99 21

在外网口配置nat server protocol tcp global xx.xx.xx.xx 62121 inside xx.xx.xx.xx 21

参考：

 一、NAT映射配置

1. 进入NAT内部服务器策略 

   Web界面路径：`策略 > 接口NAT > IPv4 > NAT内部服务器 > 策略配置`

2. 新建映射规则 

    名称：自定义规则名称（如"FTP_Port_Mapping"） 

    接口：选择连接外网的物理接口（如`GigabitEthernet1/0/3`） 

    协议类型：选择`TCP`（FTP控制端口为TCP 21） 

    映射方式：选择`外网地址单一，外网端口单一` 

    外网地址：输入防火墙公网IP（如`61.139.2.70`） 

    外网端口：`62121` 

    内部服务器IP地址：输入FTP服务器内网IP（`192.168.1.2`） 

    内部服务器端口：`21` 

    启用规则：勾选启用 

    允许反向地址转换：勾选（允许内网主动访问外网时复用映射）

 二、安全策略配置

1. 创建策略规则 

   Web路径：`策略 > 安全策略 > IPv4安全策略` 

    新建策略，动作选择`允许` 

    源安全域：`Untrust`（外网） 

    目的安全域：`Trust`（内网） 

    服务：选择`FTP`或手动定义TCP目的端口`62121` 

2. 启用FTP ALG（关键） 

   Web路径：`策略 > NAT策略 > NAT高级设置` 

    确保`FTP ALG`功能已启用（处理FTP数据通道协商）

 三、验证配置

1. 保存配置并重启防火墙服务（部分设备需提交生效）。 

2. 外网使用`ftp://公网IP:62121`测试连接，同时检查防火墙日志确认流量是否放行。

 注意事项

 若FTP服务器使用被动模式（PASV），需额外映射数据端口范围（如1024-65535），并在防火墙开放对应端口。 

 确保内网路由可达：若FTP服务器位于`192.168.1.0/24`网段，需在防火墙配置静态路由指向该子网的下一跳（如核心交换机）。

我又看了一下你的另一个贴子，ftp服务器可以访问外网不？

命令行

web界面里这个功能叫NAT服务器，但是大部分都没有，需要用命令行敲

不过下面这种可以用web界面来做，效果一样