• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

全局NAT下,在防火墙内网,想使用外网IP+端口映射访问内部服务器,如何配置

2026-06-27提问
  • 0关注
  • 0收藏,200浏览
粉丝:0人 关注:0人

问题描述:

全局NAT下,在防火墙内网,想使用外网IP+端口映射访问内部服务器,如何配置

最佳答案

2 个回答
xiaoyu 九段
粉丝:73人 关注:0人

参考如下链接  https://zhiliao.h3c.com/Theme/details/159598

暂无评论

粉丝:19人 关注:2人

H3C 防火墙 全局 NAT + 端口映射(内网也能用公网 IP 访问服务器完整配置)
场景说明
防火墙出口有公网 IP:203.0.113.10
内网服务器:192.168.1.100 业务端口80
需求:
外网用户:203.0.113.10:80 访问服务器
内网电脑也直接用公网 IP 203.0.113.10:80 访问(关键:内网回环 NAT / 双向 NAT)
全局内网 NAT:所有内网上网自动转换公网地址
一、基础规划
外网接口:GE1/0/0 Untrust,公网 IP 203.0.113.10/24
内网接口:GE1/0/1 Trust,内网网段 192.168.1.0/24
服务器:192.168.1.100:80
映射规则:公网 203.0.113.10:80 → 192.168.1.100:80
二、完整配置(含内网公网 IP 可访问核心回环 NAT)
1. 接口与安全域基础
plaintext
<H3C>system-view
[H3C]sysname FW
# 外网接口
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]port link-mode route
[FW-GigabitEthernet1/0/0]ip address 203.0.113.10 255.255.255.0
[FW-GigabitEthernet1/0/0]quit
[FW]security-zone name Untrust
[FW-security-zone-Untrust]import interface GigabitEthernet 1/0/0
[FW-security-zone-Untrust]quit

# 内网接口
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]port link-mode route
[FW-GigabitEthernet1/0/1]ip address 192.168.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1]quit
[FW]security-zone name Trust
[FW-security-zone-Trust]import interface GigabitEthernet 1/0/1
[FW-security-zone-Trust]quit
2. 全局内网上网 NAT(内网全部上网转换公网 IP)
plaintext
# 匹配内网所有流量ACL
[FW]acl basic 2000
[FW-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[FW-acl-ipv4-basic-2000]quit

# 出口地址组
[FW]nat address-group 0 203.0.113.10 203.0.113.10
# 全局easy nat,内网自动转换公网IP
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]nat outbound 2000 address-group 0
[FW-GigabitEthernet1/0/0]quit
3. 端口映射(Server NAT,外网访问)
plaintext
# 创建服务器映射
[FW]nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 80
这条只能实现外网访问公网 IP,内网电脑用 203.0.113.10 会打不开,需要加下面回环 NAT。
4. 关键:内网使用公网 IP 访问服务器(回环双向 NAT)
原理:内网主机访问公网 IP 时,源地址转换防火墙内网网关,目的地址转换内网服务器。
plaintext
# 匹配内网访问公网服务器IP的流量
[FW]acl advanced 3000
rule permit tcp source 192.168.1.0 0.0.0.255 destination 203.0.113.10 0 eq 80
quit

# 在内网Trust接口配置回环NAT
[FW]interface GigabitEthernet 1/0/1
nat outbound 3000
quit
5. 放行安全策略(必配,否则拦截)
plaintext
[FW]security-policy ip
# 外网访问映射服务器放行
rule 0 name Untrust-To-Server
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 0
service tcp destination-port eq 80
action pass

# 内网互访默认可通,如有限制补充:
rule 10 name Trust-All
source-zone Trust
destination-zone any
action pass
quit
三、如果是多端口 / 多服务器扩展示例
多端口同一台服务器
plaintext
nat server protocol tcp global 203.0.113.10 8080 inside 192.168.1.100 8080
nat server protocol tcp global 203.0.113.10 3389 inside 192.168.1.100 3389
多公网 IP 映射多台服务器
plaintext
nat server protocol tcp global 203.0.113.11 80 inside 192.168.1.101 80
四、两种访问逻辑拆解
外网访问流程
外网 IP → 防火墙 Untrust 口 → nat server 转换目的地址 → 转发内网服务器,全局 NAT 不影响入站映射。
内网电脑访问公网 IP(203.0.113.10)流程
内网主机 192.168.1.x → Trust 接口回环 NAT:
源 IP:192.168.1.x → 转换为防火墙内网口 192.168.1.1
目的 IP:203.0.113.10 → nat server 自动转为 192.168.1.100
服务器回包给防火墙网关,正常转发回内网主机。
五、常见故障排查
内网无法用公网 IP 访问
缺少 nat outbound 3000 内网回环 NAT;
ACL3000 网段、端口匹配错误。
外网打不开映射端口
安全策略未放行 Untrust→Trust 对应端口;
运营商封禁 80/443 等常用端口;
服务器本地防火墙拦截端口。
全局 NAT 和 nat server 冲突
H3C 防火墙 nat server 优先级高于 outbound 全局 NAT,不会冲突,无需额外调整。
查看验证命令
plaintext
# 查看端口映射
display nat server
# 查看NAT会话
display nat session table
# 查看安全策略匹配计数
display security-policy ip rule all
# 查看接口NAT配置
display current-configuration interface GigabitEthernet 1/0/0
display current-configuration interface GigabitEthernet 1/0/1
补充:Web 界面简易配置逻辑
网络→NAT→服务器映射:新增 TCP,公网 IP 端口、内网 IP 端口;
网络→NAT→出站 NAT:外网口创建全局 Easy NAT;
网络→NAT→出站 NAT:内网口新建回环 NAT,ACL 匹配内网访问公网服务器流量;
策略→安全策略放行外网到服务器端口。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明