H3C F1000-AK1180 外网无法映射 8088 端口 快速排障（你内网 172.16.63.170:8080 正常）

核心必查 5 点，99% 解决

1、确认 NAT 配置（必须是目的 NAT / 端口映射）

• 不能只做源 NAT（上网 NAT），** inbound 端口映射必须单独配 **
• 端口号别写错：公网 8088、内网 8088 一一对应

2、防火墙安全策略放行（最常见漏配）

• 源区域：Untrust
• 目的区域：Trust
• 目的 IP：172.16.63.170
• 服务：TCP 8088
• 动作：允许

重点：防火墙默认拒绝 外网→内网主动访问，策略不放行绝对不通

3、检查端口 / IP 冲突

1. 公网 8088 有没有被防火墙自身管理、其他映射占用
2. 确认映射命令里：global 公网IP 是设备真实公网地址，不是错配
3. 测试更换临时端口：比如外网8099映射内网 8088，排除运营商端口拦截

4、关闭 / 检查端口过滤、ALG

5、现场快速定位命令

• 无会话：策略拒绝 / NAT 没生效
• 有会话但不通：内网防火墙、服务器系统防火墙拦截

看安全策略吧，或者debugging一下就知道了是不是安全策略的问题了

FW的WEB里有个报文示踪功能

看下就知道是哪里挡住了

可以通过抓包看看问题出在哪一段

从你的描述来看，内网能通说明服务器本身和服务都是正常的。外网访问不了，问题基本就锁定在F1000-AK1180防火墙的配置上了。这通常是因为少配置了安全策略。

我用一个类比帮你理解：你给某人寄了一个包裹（配置了端口映射/NAT），但如果大楼的保安没收到放行指令（缺少安全策略），这个包裹就会被直接拦截。详细排查路径看下面：

🔍 快速定位问题

从最简单、可能性最大的原因开始排查，我推荐你先验证两个部分：

1. 核心必查：检查“安全策略”是否放行（这是最常见的原因）
   防火墙默认会拒绝所有从外网到内网的主动访问。只配置NAT是不够的，必须要有明确的放行规则。你需要确认源安全域是Untrust，目的安全域是Trust，并且规则已生效。

2. 核心必查：检查“NAT Server”配置是否正确
   确认NAT规则是否指向了正确的inside服务器IP和global端口。

为了帮你验证配置，你可以通过命令行（CLI）或者Web界面进行检查。

💻 命令行（CLI）核心排查逻辑与命令

登录防火墙的命令行界面（通过SSH或Console），按顺序执行以下命令。

1️⃣ 验证安全策略：流量是否被命中

执行命令查看流量命中情况，这是最重要的排查步骤：

• 期望结果：在输出中找到你为8088端口创建的策略，它的Hit Count字段数值应该大于0。

• 如果数值为0：说明这条安全策略根本没有匹配到流量，问题就在于安全策略没有正确放行。

• 如果数值大于0但服务还是不通：说明策略已放行，问题可能出在NAT转换或服务器本身。

你可能需要留意不同版本命令的差异。在某些较新的Comware V7版本中，请使用 display security-policy ip hit-count 命令。

2️⃣ N映射配置：确保NAT条目存在

• 期望结果：确认输出中存在一条将公网IP的8088端口映射到172.16.63.170的8088端口的TCP规则。

• 如果没有这条记录：说明端口映射（NAT Server）没有配置上。

3️⃣ 验证会话：检查NAT转换和服务器回包

当从外网发起访问时，立刻执行以下命令，看看防火墙是否收到了流量并建立了会话：

• 如果没有会话条目：说明流量根本没有到达防火墙，可能是网络路径不通。

• 如果有会话条目：注意观察State字段是否为ESTABLISHED。更重要的是，检查打印出来的详细信息，确认NAT字段是否正确变换了地址和端口，以及Initiator->Responder和Responder->Initiator报文统计是否有明显的发包无回包的情况。

4️⃣ 评估运营商风险：更换端口测试

如果你确认以上配置都正确，你需要对运营商网络进行特别评估：8088端口并非标准Web服务端口，部分运营商网络可能会出于安全考虑，默认屏蔽（封堵）此类非标准端口。

请执行以下关键测试：
临时新增一条映射规则，比如将外网的 18088 端口映射到内网的 8088 端口，然后从外网访问 公网IP:18088。

• 如果更换端口后访问成功：这可以确定是运营商对8088端口的访问策略存在问题，需联系运营商商议。

• 如果仍无法访问：说明运营商网络并非问题的根源。