system-view
acl advanced 3000
rule permit tcp source 【指定允许的外部公网IP】 0 destination 【出口公网映射IP地址】 0 destination-port eq 【需要映射的端口号】
rule deny ip
quit
第二段:在公网出接口下配置绑定该ACL的NAT端口映射规则,只有匹配ACL的流量才会触发端口地址转换,其余外部IP的访问请求直接被路由器拦截,不会转发到内网服务器,配置命令如下:
interface 【公网出接口名称,如GigabitEthernet0/0】
nat server protocol tcp global 【公网映射IP】 【映射端口】 inside 【内网服务器私网IP】 【内网服务端口】 acl 3000
如果映射的是UDP服务,把命令里的tcp替换为udp即可。
在 H3C 路由器上实现你说的这个“只允许特定外部 IP 访问内网服务器”的需求,不需要额外的安全策略,直接在端口映射(NAT Server)命令后面调用一个 ACL(访问控制列表)就行了。这个 ACL 会作为“门禁”,只有匹配到的源 IP 才允许通过。
以你的场景为例,假设:
允许的外部 IP:1.1.1.1
服务器的内网 IP:192.168.1.100
映射的公网端口:8080
一、配置命令(核心步骤)
bash
system-view
# 1. 创建一个高级ACL,用于匹配允许访问的源IP
acl advanced 3000
rule 5 permit ip source 1.1.1.1 0 # 注意:0代表主机地址,精确匹配
quit
# 2. 进入公网接口视图(例如GigabitEthernet0/0)
interface GigabitEthernet0/0
# 3. 配置端口映射,并在末尾调用上面创建的ACL
nat server protocol tcp global current-interface 8080 inside 192.168.1.100 80 acl 3000
# 4. 确保接口已启用NAT功能
nat outbound
quit
注意:命令中的 current-interface 表示使用该接口的当前公网 IP,如果你的公网 IP 是固定的,也可以直接写成 global 202.x.x.x 8080。
二、配置校验与验证
配置完成后,可以执行以下命令查看映射状态:
bash
display nat server
在结果中确认映射状态为 Active,并且能看到关联的 ACL 编号 3000。
三、补充说明
如果路由器提示不支持:极少数老旧型号可能不支持在 nat server 后直接跟 ACL。这种情况下,你需要先创建 ACL 允许特定 IP 访问服务器的端口(rule permit tcp source 1.1.1.1 0 destination-port eq 8080),然后将该 ACL 应用到接口的 packet-filter(包过滤)下,强行阻断其他 IP 的访问。
关于防火墙设备:如果你用的不是路由器而是防火墙(如 F100 系列),配置逻辑稍有不同,需要在“安全策略”里放行特定 IP,然后在“NAT 策略”里做映射,但核心思路完全一致。
配置完成后,建议用手机 4G/5G 流量(非允许 IP 的网络)访问一下,确认无法连接,再用允许的 IP 测试正常,这样就完全符合你的要求了。
暂无评论
在出口路由器上做端口映射,并只允许特定外部IP访问,最直接有效的方法是在NAT Server命令中直接绑定高级ACL(访问控制列表)。
首先请注意:防火墙和路由器的配置逻辑完全不同。 如果网络出口是防火墙,则必须通过安全策略来控制;如果是路由器,才是通过带ACL的NAT Server来实现。
第一步:配置ACL
创建一个高级ACL(编号3000-3999),核心逻辑是:只放行(permit)特定IP,并拒绝(deny)其他所有IP。
关键解释:
rule 0精确放行了指定源IP对特定公网地址和端口的TCP访问。rule 5则拒绝了所有其他IP对该公网地址的访问。ACL的permit和deny都是精确控制的,不会影响其他映射。
第二步:在公网接口上绑定ACL
这是最关键的一步,必须将ACL直接关联到NAT端口映射的命令中。
原理:这样配置后,路由器只有在收到匹配ACL
permit规则的流量时,才会执行NAT转换。不符合规则的流量在第一步就被ACL过滤掉了,不会到达内网服务器。
如果映射的是UDP服务,请把命令中的 tcp 替换为 udp。
特别说明:如果出口是防火墙
如果出口设备是防火墙(如H3C SecPath系列),配置逻辑完全不同:防火墙是通过安全策略来控制访问,而不是在NAT上绑ACL。
基本思路是:
配置安全策略,只允许特定源IP访问映射后的内网服务器。
配置目的NAT(端口映射),此处无需绑定ACL。
| 设备类型 | 配置命令/界面 | 关键逻辑 |
|---|---|---|
| 防火墙 (V7) | security-policy ip + nat server | 通过安全策略的精细控制来实现 |
| 路由器 (Comware V7) | nat server ... acl 3000 | 直接在NAT命令中绑定ACL |
验证方法
配置完成后,可以这样验证:
从允许的IP测试:使用你指定的外部IP访问映射的公网地址+端口,应该能正常连接到内网服务。
从其他IP测试:使用任何其他外部IP访问同一个公网地址+端口,应该完全无法连接。
查看NAT会话:可以在路由器上执行
display nat session verbose来观察NAT转换是否按预期进行。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论