端口映射只允许某个ip访问

白名单ip写到源地址位置，其它按标准配置即可。

再写一条防火墙策略，只允许信任的源ip地址访问对应公网地址的端口

端口映射本身正常做，只允许某个外网 IP 访问，是靠 “安全策略” 来放通 / 拒绝，不是在 NAT 页面上绑白名单。
下面按你问的两点讲：
1）页面参数怎么填（外网口、内网地址）
2）怎么做成 “只允许某个 IP 访问”
一、端口映射页面怎么填（NAT 内部服务器）
以华三防火墙 Web 界面（典型路径：策略→NAT→NAT 内部服务器→新建）为例：
接口：选外网口（如 GigabitEthernet1/0/1，Untrust 口）
协议类型：TCP 或 UDP（常用 TCP）
外网地址：
若外网口有固定公网 IP：填外网口 IP（如 113.XX.XX.XX）
若用接口地址：有的页面选 “接口地址”/“global-interface”
外网端口：对外端口，如 3389、80、443
内网服务器 IP 地址：内网真实 IP（如 192.168.1.100）
内部服务器端口：内网服务端口（和外网端口可一样 / 不一样）
一句话：
外网口 / 外网地址 = 别人访问你的公网入口
内网服务器 IP = 实际提供服务的机器 IP
二、只允许某个 IP 访问（白名单）
华三防火墙不能在 NAT 页面直接写 “允许哪些源 IP”，必须配合安全策略：
1）先做端口映射（如上，源地址先不限制）
2）新建安全策略（关键）
路径：策略→安全策略→新建
源安全域：Untrust（外网）
源地址：选 “单个 IP”，填允许的那个外网 IP（如 1.2.3.4）
目的安全域：Trust（内网）
目的地址：内网服务器 IP（192.168.1.100）
服务：选对应端口（TCP/3389 等）
动作：允许
3）确保其他 IP 被拒绝
防火墙默认有一条拒绝所有的兜底策略，只要你上面只建了一条 “仅允许 1.2.3.4 访问内网服务器” 的策略，其他所有 IP 都会被拦，就是你要的白名单效果。
三、命令行对照（方便你核对）
bash
运行
# 1. 在外网口做端口映射
interface GigabitEthernet1/0/1
nat server protocol tcp global 113.XX.XX.XX 3389 inside 192.168.1.100 3389

# 2. 安全策略放通指定源IP
security-policy
rule name Allow_Only_One_IP
source-zone untrust
source-ip 1.2.3.4 0
destination-zone trust
destination-ip 192.168.1.100 0
service tcp/3389
action permit

白名单地址在源安全域引用，比如Untrust，其他正常配置；注意安全策略目的IP为真实服务器的IP。