H3C SecPath F5030-6GW 配PAT出口限制端口号

要限制 H3C SecPath F5030-6GW 防火墙在 PAT 转换时使用的源端口，核心思路是使用访问控制列表（ACL）。可以把它想象成一道精准的筛选器，只让指定的流量进行地址转换。

如果需要限制端口的话，可以通过防火墙的安全策略去实现。
例如在安全策略中对服务端口做过滤并进行deny操作。

如果您是需要在防火墙上通过以下方式限制PAT转换的端口范围，可参考如下内容：

1. 在NAT地址组中配置端口范围
   进入NAT地址组视图，使用port-range命令指定公网IP地址的端口范围。例如，将端口范围限制为1024-65535：

   system-view
   [Sysname] nat address-group 1
   [Sysname-address-group-1] port-range 1024 65535

   配置后，该地址组内所有公网IP的端口转换仅在此范围内生效。

2. 在NAT端口块组中配置端口范围
   若使用端口块动态映射（NAT444），需在端口块组视图中配置：

   system-view
   [Sysname] nat port-block-group 1
   [Sysname-port-block-group-1] port-range 30001 65535

   此配置确保端口块分配仅使用指定范围的端口。

注意事项：
端口范围需满足end-port-number ≥ start-port-number，且建议起始端口号≥1024以避免应用协议冲突。此配置仅对引用该地址组的PAT转换生效，需确保安全策略放行相关流量。

• 示例配置：

  system-view
  [H3C] nat address-group 1
  [H3C-address-group-1] port-range 3000 60000 // 限制端口范围为3000~60000
  [H3C-address-group-1] quit
  [H3C] interface gigabitethernet x/x/x // 替换为实际出接口
  [H3C-GigabitEthernetx/x/x] nat outbound address-group 1