• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1000-AK135防火墙DNAT问题

2026-06-26提问
  • 0关注
  • 0收藏,198浏览
粉丝:1人 关注:0人

问题描述:

F1000-AK135防火墙已可以正常上网,在端口映射时,我用30192映射到内网30192在内网测试端口映射是正常通信的,但外网测试无法通信,是怎么回事?如何排查解决?

 

最佳答案

zhiliao_k8NNG 知了小白
粉丝:1人 关注:0人

有这个安全策略也不行

填私网地址

zhiliao_v6hOyc 发表时间:2026-06-27 更多>>

填私网地址

zhiliao_v6hOyc 发表时间:2026-06-27
5 个回答
粉丝:44人 关注:1人

安全策略里面需要放通,untrust到内部trust 区域 映射私网地址服务器IP, 端口30192



粉丝:12人 关注:9人

排查步骤及命令:
1. 确认配置正确性
执行 display firewall session table 查看会话表,确认外网请求是否被DNAT命中。
检查配置:display firewall policy 确认策略允许内外网双向通信,display firewall nat port-map 输出是否正确(公网地址、端口是否映射内网地址)。
2. 检查外网方向策略
执行 display firewall policy 确认是否存在外网入方向策略,允许公网IP访问映射端口。
若策略缺失,需添加:

firewall policy name DNAT-POLICY
rule permit source any destination 公网IP

3. 验证NAT表项
执行 display firewall nat session 检查DNAT会话是否建立,确认内网地址是否被正确转换。
4. 测试连通性
使用 tracert 或 ping 从外网IP分别测试公网和内网服务(如 curl 公网IP:30192)。
5. 排查防火墙硬件/软件
检查防火墙是否为多NAT模式,或是否存在端口限制(如 display firewall nat global-port)。
可能原因及解决:
策略未允许外网入站:补充允许外网访问映射端口的入站策略。
DNAT配置错误:检查 nat server 命令中内外网端口是否一致,公网地址是否正确。
内网防火墙拦截:若内网有其他设备,需确认其未拦截该端口。
防火墙版本限制:升级至支持全端口映射的固件版本。
关键命令示例:
bash
查看DNAT配置
display firewall nat server
检查会话表
display firewall session table
添加DNAT策略(示例)
firewall nat server protocol tcp global 公网IP 30192 inside 内网IP 30192
提示:若上述步骤无效,需确认公网IP是否为真实可访问地址,避免使用保留地址或未解析域名。

粉丝:21人 关注:0人

安全策略untrust地址是any ,trust地址是需要映射的服务器地址

东方 五段
粉丝:1人 关注:2人

增加trust到local和local到向trust方向的策略试一下,放通

粉丝:19人 关注:2人

F1000-AK135 DNAT 内网通、外网不通完整排查方案
核心现象解读
内网用公网 IP:30192 能正常连通服务器,说明:
NAT Server 映射规则语法没问题;
服务器端口 30192 正常监听、本机防火墙放行;
内网回流、回程路由、服务器网关正常。
外网不通全部集中在外网入站流量拦截、运营商限制、安全域策略、公网 IP 类型、多出口不对称路由五类问题,按顺序排查。
一、第一步:核查 NAT Server 标准配置(F1000-AK135 V7 规范)
正确配置示例(30192 端口)
plaintext
# 外网Untrust接口下配置nat server(必须在外网口,不能全局)
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 30192 inside 192.168.1.100 30192
# 全局上网easy nat(内网访问互联网)
nat outbound 2000
校验命令
plaintext
display nat server
核对三点:
协议是 TCP(30192 一般 TCP,UDP 业务要改成 udp);
global 公网 IP = 防火墙 WAN 口真实 IP,内外端口均 30192;
规则绑定在外网 Untrust 接口,不是内网口 / 全局。
二、最高频故障:缺少 Untrust→Trust 入站安全策略(90% 场景)
H3C V7 防火墙默认拒绝所有跨域入站流量,仅配 NAT 不代表放行流量。
1、新建放行规则(必配)
plaintext
system-view
security-policy ip
# 外网访问服务器30192放行
rule 0 name Untrust-To-Server-30192
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 255.255.255.255
service tcp destination-port eq 30192
action pass
# 内网访问互联网放行(原有全局上网策略)
rule 10 name Trust-To-Untrust
source-zone Trust
destination-zone Untrust
action pass
quit
快速验证方法
临时放开宽松策略测试外网,通了就是精准策略缺失:
plaintext
security-policy ip
rule 99 name Test-Any
source-zone any
destination-zone any
action pass
外网能访问后删除 rule99,保留精准端口规则。
策略匹配计数查看
plaintext
display security-policy ip rule all | include 30192
若 hit 计数始终为 0:流量没匹配到这条规则,地址 / 端口 / 域写错。
三、第二步:确认 WAN 口是公网独立 IP,非运营商 CGN 大内网
判断方法
防火墙查看 WAN 口 IP:display ip interface brief GigabitEthernet 1/0/0
手机 4G 访问***.***,对比出口 IP
两个 IP 不一致 = 运营商 CGNAT(多层 NAT),外网无法直接穿透,必须联系运营商改公网静态 IP;
IP 一致 = 真实公网 IP,排除运营商大内网问题。
四、第三步:运营商封禁 30192 端口 / 光猫二层拦截
更换端口测试:临时映射公网端口 50000→内网 30192,外网测试
plaintext
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 50000 inside 192.168.1.100 30192
外网 50000 能通 = 运营商封堵 30192,联系运营商放通端口。
2. 光猫模式核查:必须桥接模式,光猫不能做路由 / NAT,否则外网流量被光猫拦截,无法到达防火墙。
五、第四步:回程路由不对称(多出口 / 双宽带场景)
如果防火墙双 WAN 多线路:
外网请求从电信 WAN 口进,服务器回包从联通 WAN 口出,运营商丢弃源目不匹配报文。
解决:外网接口开启保持入站接口转发
plaintext
interface GigabitEthernet 1/0/0
nat hairpin enable
reverse-route permanent
reverse-route permanent 生成静态回程路由,强制回包从入站 WAN 口转发。
六、第五步:服务器侧底层校验(内网通不代表外网无拦截)
服务器默认网关必须是防火墙内网接口 IP(192.168.1.1),不能指向交换机 / 其他网关;
Windows 防火墙、第三方安全软件放行 30192 入站 TCP;
服务监听地址为0.0.0.0:30192,不能仅监听 127.0.0.1 或内网单 IP。
七、会话表抓包深度定位(终极排查)
1、查看外网访问是否生成 NAT 会话
外网手机 / 云服务器 telnet 公网 IP 30192,同时执行:
plaintext
display nat session table destination 192.168.1.100
无会话表:流量根本没进入防火墙,问题在运营商 / 光猫 / 安全策略拦截;
有会话、只有发起方 SYN 无回包 SYN-ACK:服务器防火墙拦截、回程路由错误。
2、接口抓包定位
plaintext
# 外网口抓入站流量
debugging packet interface GigabitEthernet 1/0/0 inbound
# 内网口抓服务器回包
debugging packet interface GigabitEthernet 1/0/1 outbound
看外网 SYN 是否到达内网服务器、有无 SYN-ACK 返回。
八、最简修复完整配置(直接复制替换)
plaintext
system-view
# 1、NAT端口映射(外网口)
interface GigabitEthernet 1/0/0
nat server protocol tcp global 203.0.113.10 30192 inside 192.168.1.100 30192
nat outbound 2000
reverse-route permanent
quit

# 2、安全策略放行外网入站30192
security-policy ip
rule 0 name Untrust-Server-30192
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 0
service tcp destination-port eq 30192
action pass
rule 10 name Trust-To-Internet
source-zone Trust
destination-zone Untrust
action pass
quit

# 3、内网开启回流(内网公网IP访问用)
interface GigabitEthernet 1/0/1
nat hairpin enable
quit
save force
故障优先级总结(按排查顺序)
缺少 Untrust→Trust 放行 30192 的安全策略(最高概率)
WAN 口为运营商 CGN 内网 IP,非独立公网
运营商屏蔽 30192 端口、光猫路由模式二次 NAT
多出口未配置 reverse-route 永久回程路由
服务器网关错误、本机防火墙拦截端口
nat server 配置在内网接口 / 全局,未绑定外网 Untrust 口

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明