SecPath F1000-AK165的防火墙 NET端口映射

如果想让内网也可以通过公网ip+端口访问，需要做nat回流。

内网口开启端口回流

内网口：

int g1/0/2

nat hairpin enable 

你好，可以使用nat hairpin功能进行配置，详细配置指导如下：http://www.h3c.com/cn/d_201909/1232175_30005_0.htm#_Toc20643029

如有帮助，请采纳。谢谢。

2.21.7  内网用户通过NAT地址访问内网服务器配置举例

1. 组网需求

·            某公司内部网络中有一台FTP服务器，地址为192.168.1.4/24。

·            该公司拥有两个外网IP地址：202.38.1.1和202.38.1.2。

需要实现如下功能：

·            外网主机可以通过202.38.1.2访问内网中的FTP服务器。

·            内网主机也可以通过202.38.1.2访问内网中的FTP服务器。

3. 配置思路

该需求为典型的C-S模式的NAT hairpin应用，具体配置思路如下。

·            为使外网主机可以通过外网地址访问内网FTP服务器，需要在外网侧接口配置NAT内部服务器。

·            为使内网主机通过外网地址访问内网FTP服务器，需要在内网侧接口开启NAT hairpin功能。其中，目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成，本例中采用出方向动态地址转换配置。

4. 配置步骤

# 配置接口IP地址、路由、安全域及域间策略保证网络可达，具体配置步骤略。

# 配置ACL 2000，允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

<Device> system-view

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置NAT内部服务器，允许外网主机使用地址202.38.1.2访问内网FTP服务器，同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp

# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换，使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换。

[Device-GigabitEthernet1/0/2] nat outbound 2000

[Device-GigabitEthernet1/0/2] quit

# 在接口GigabitEthernet1/0/1上开启NAT hairpin功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] nat hairpin enable

[Device-GigabitEthernet1/0/1] quit

5. 验证配置