问

防火墙配置静态nat

2天前提问

0关注
0收藏，116浏览

zhiliao_gJIeAd

zhiliao_gJIeAd 二段

粉丝：0人关注：0人

问题描述：

一个地址可以做两个静态NAT吗？搭配acl使用，比如

acl advanced 3006

rule 0 permit ip source 159.1.33.245 0 destination 192.170.2.3 0

nat static outbound 159.1.33.245 73.165.0.100 acl 3006 reversible

acl advanced 3004

rule 0 permit ip source 159.1.33.245 0 destination 10.64.10.153 0

nat static outbound 159.1.33.245 73.165.0.38 acl 3004 reversible

3 个回答

按时间按赞数

刘浩存

刘浩存八段

粉丝：13人关注：1人

你提出的方法在原理上是可行的。通过巧妙地结合ACL和reversible参数，可以在防火墙Comware V7系统上，为同一个内部源地址配置多个指向不同公网地址的静态NAT规则。

原理与机制

核心逻辑：设备会根据nat static命令中绑定的ACL来决定使用哪条转换规则。当内网主机159.1.33.245发起访问时，防火墙会按照ACL的配置来匹配数据包。
匹配流程：首先，它会检查数据包的目的地址。如果目的地是192.170.2.3，就触发ACL 3006规则，执行nat static outbound 159.1.33.245 73.165.0.100 acl 3006进行转换；如果目的地是10.64.10.153，则触发ACL 3004，执行nat static outbound 159.1.33.245 73.165.0.38 acl 3004。

`reversible`参数的关键作用

在你的配置里，reversible参数起到了至关重要的作用。

工作模式：
1. 当内网主机（159.1.33.245）通过公网地址73.165.0.100访问192.170.2.3时，reversible机制会在防火墙上生成一个临时的映射表项。
2. 随后，当外部主机（192.170.2.3）需要回复这个会话或发起新连接时，就可以通过这个临时表项反向访问到内网主机159.1.33.245。这种方式提供了类似动态NAT的灵活性，在按需开放访问的场景中非常有用。

配置的准确性与安全性

ACL配置正确性：你提供的ACL规则配置是完全正确的。它们精准地定义了触发转换的流量特征：
- rule 0 permit ip source 159.1.33.245 0 destination 192.170.2.3 0
- rule 0 permit ip source 159.1.33.245 0 destination 10.64.10.153 0
关键细节确认：H3C设备要求，ACL规则中必须包含源IP、目的IP这些关键元素，你的配置满足了这个要求。
安全策略联动：ACL仅控制地址转换与否，而流量能否放行还需依赖安全策略（如域间策略）。务必确保从Trust到Untrust、以及反向的Untrust到Trust的策略中都正确调用了这些ACL，并设置了action pass。

完成配置后，你可以通过以下方法验证：

检查静态NAT配置：
[H3C] display nat static
检查动态生成的转换表项：
[H3C] display nat session verbose
进行连通性测试：从159.1.33.245分别访问192.170.2.3和10.64.10.153，抓包验证源地址是否转换为了预期的公网IP。

潜在冲突与注意事项

NAT规则优先级：如果接口同时存在多种NAT规则，匹配优先级为：内部服务器 > 普通静态NAT > 动态NAT-1。因此，确保你的静态NAT规则不会被优先级更高的规则（如NAT Server）抢先匹配。
避免ACL规则冲突：特别注意，nat static命令引用的ACL不能和其他ACL规则在源和目的IP地址、VPN实例上完全相同，否则可能引发冲突，导致配置不生效。
地址池重叠：确保静态转换的公网地址（73.165.0.100, 73.165.0.38）没有被任何NAT地址池（nat address-group）包含，否则可能产生冲突。
配置保存：配置完成后，务必执行save命令保存配置。

其实我想确认的就是：是否能够使用静态地址转换并搭配访问控制列表将一个地址映射成多个地址，因为之前遇到过这个问题，类似上述配置，但是当时怎么都是其中一个映射不通，后来想想是不是只能做一条静态映射（虽然搭配了访问控制列表）

zhiliao_gJIeAd 发表时间：2天前 更多>>

zhiliao_gJIeAd 发表时间：2天前

zhiliao_GeOM0O

zhiliao_GeOM0O 七段

粉丝：10人关注：2人

防火墙静态 NAT 核心解答：同一个内网 IP 可以配置多个带 ACL 的静态 NAT
你这种配置完全可行，这是华为 / 华三系防火墙基于 ACL 的精细化静态 NAT（策略静态 NAT）的标准用法，核心结论：✅ 同一个内网私网 IP（159.1.33.245），可以绑定多个公网 IP，通过不同 ACL 区分访问目标，实现不同的地址转换
一、你的配置含义（逐行解析）
acl
# 第一条规则：访问 192.170.2.3 时，转换为 73.165.0.100
acl advanced 3006
rule 0 permit ip source 159.1.33.245 0 destination 192.170.2.3 0
nat static outbound 159.1.33.245 73.165.0.100 acl 3006 reversible

# 第二条规则：访问 10.64.10.153 时，转换为 73.165.0.38
acl advanced 3004
rule 0 permit ip source 159.1.33.245 0 destination 10.64.10.153 0
nat static outbound 159.1.33.245 73.165.0.38 acl 3004 reversible
流量匹配逻辑（防火墙执行顺序）
内网主机 159.1.33.245 发起访问
防火墙先匹配 ACL，判断访问的目标 IP
访问 192.170.2.3 → 匹配 ACL3006 → 转换成公网 IP 73.165.0.100
访问 10.64.10.153 → 匹配 ACL3004 → 转换成公网 IP 73.165.0.38
reversible 支持反向映射，外部主动访问对应公网 IP，可回落到内网主机
二、关键注意事项（必看，避免配置失效）
ACL 严格匹配你的 ACL 是精确匹配单个目标 IP，只有命中规则的流量才会触发对应 NAT，无重叠、无冲突。
公网 IP 不能重复绑定你用了 73.165.0.100 和 73.165.0.38 两个不同公网 IP，合法；❌ 禁止：同一个公网 IP 同时绑定多个内网 IP 做静态 NAT。
防火墙接口方向nat static outbound 是出方向 NAT，必须配置在连接公网的 outbound 接口下，否则不生效。
安全策略放行除了 NAT，防火墙必须配置安全策略放行对应流量，否则 NAT 配置了也会被拦截。
三、补充：这种配置的适用场景
你这种配置专门用于：同一个内网服务器，访问不同外部业务时，需要使用不同的公网出口 IP例：
访问业务 A → 用公网 IP1
访问业务 B → 用公网 IP2
外部通过不同公网 IP，可分别访问这一台内网服务器
总结
同一个内网 IP + 多个 ACL + 多个公网 IP → 标准合法配置，完全支持；
核心是ACL 区分访问目标，实现精细化静态 NAT；
只要公网 IP 不重复、接口方向正确、安全策略放行，配置即可正常运行。