服务器端口映射不成功，该如何排查？

什么设备？防火墙还是路由器？

有没有固定地址？

检查防火墙的配置

第一步：验证内部服务器自身连通性

这是最基础的一步，确保服务器本身是“活”的，并且网关指向正确。

• 检查项目：

  1. IP 地址与网关：在服务器上 ping 网关地址（即路由器/防火墙的内网 IP）。如果不通，检查网线、交换机端口、或服务器的网卡配置。

  2. 服务状态：在服务器本地 telnet 127.0.0.1 <端口号> 或访问 http://127.0.0.1:<端口>，确认服务进程本身在正常运行且监听在所有接口（0.0.0.0）上，而不仅仅是 127.0.0.1。

• 预期结果：服务器能 ping 通网关，且本地能访问服务。

第二步：在内网跨设备访问测试

模拟内网其他设备访问该服务器，验证二层/三层转发是否正常。

• 操作方法：找一台与服务器同网段的内网电脑，ping 服务器的内网 IP，并用浏览器或 telnet 访问服务器的端口。

• 结果判断：

  • 通：说明服务器和内部网络没问题，问题在路由器/防火墙上。

  • 不通：说明服务器与内网其他设备之间有隔离。可能原因：交换机端口 VLAN 隔离、服务器防火墙（Windows Firewall / iptables）拦截了流量、或服务器网卡属性中未勾选“允许被 ping”。

第三步：检查路由器/防火墙的 NAT 配置

登录你的路由器或防火墙（如果是 H3C 设备，可能是 ER 系列路由器或 F 系列防火墙），重点核对以下几项：

1. 配置是否正确：

   • 协议：TCP 还是 UDP？（例如 HTTP 是 TCP，DNS 部分是 UDP）

   • 内网 IP：必须与服务器 IP 完全一致。

   • 内外端口：外部端口（如 8080）是否映射到了内部服务器的正确端口（如 80）。

   • 多条映射冲突：是否有两条不同的映射规则使用了相同的外部端口？

2. 安全策略（域间策略）（主要针对防火墙）：

   • 如果是防火墙（如 H3C F100-Series, M9008），除了 NAT 策略，还需要检查安全策略。

   • 必须有一条策略允许从 Untrust（外网）到 Trust（内网）的流量，目标为服务器 IP 和端口，且 action pass。