全局NAT下,在防火墙内网,想使用外网IP+端口映射访问内部服务器,如何配置
(0)
最佳答案
H3C 防火墙 全局 NAT + 端口映射(内网也能用公网 IP 访问服务器完整配置)
场景说明
防火墙出口有公网 IP:203.0.113.10
内网服务器:192.168.1.100 业务端口80
需求:
外网用户:203.0.113.10:80 访问服务器
内网电脑也直接用公网 IP 203.0.113.10:80 访问(关键:内网回环 NAT / 双向 NAT)
全局内网 NAT:所有内网上网自动转换公网地址
一、基础规划
外网接口:GE1/0/0 Untrust,公网 IP 203.0.113.10/24
内网接口:GE1/0/1 Trust,内网网段 192.168.1.0/24
服务器:192.168.1.100:80
映射规则:公网 203.0.113.10:80 → 192.168.1.100:80
二、完整配置(含内网公网 IP 可访问核心回环 NAT)
1. 接口与安全域基础
plaintext
<H3C>system-view
[H3C]sysname FW
# 外网接口
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]port link-mode route
[FW-GigabitEthernet1/0/0]ip address 203.0.113.10 255.255.255.0
[FW-GigabitEthernet1/0/0]quit
[FW]security-zone name Untrust
[FW-security-zone-Untrust]import interface GigabitEthernet 1/0/0
[FW-security-zone-Untrust]quit
# 内网接口
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]port link-mode route
[FW-GigabitEthernet1/0/1]ip address 192.168.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1]quit
[FW]security-zone name Trust
[FW-security-zone-Trust]import interface GigabitEthernet 1/0/1
[FW-security-zone-Trust]quit
2. 全局内网上网 NAT(内网全部上网转换公网 IP)
plaintext
# 匹配内网所有流量ACL
[FW]acl basic 2000
[FW-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[FW-acl-ipv4-basic-2000]quit
# 出口地址组
[FW]nat address-group 0 203.0.113.10 203.0.113.10
# 全局easy nat,内网自动转换公网IP
[FW]interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0]nat outbound 2000 address-group 0
[FW-GigabitEthernet1/0/0]quit
3. 端口映射(Server NAT,外网访问)
plaintext
# 创建服务器映射
[FW]nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 80
这条只能实现外网访问公网 IP,内网电脑用 203.0.113.10 会打不开,需要加下面回环 NAT。
4. 关键:内网使用公网 IP 访问服务器(回环双向 NAT)
原理:内网主机访问公网 IP 时,源地址转换防火墙内网网关,目的地址转换内网服务器。
plaintext
# 匹配内网访问公网服务器IP的流量
[FW]acl advanced 3000
rule permit tcp source 192.168.1.0 0.0.0.255 destination 203.0.113.10 0 eq 80
quit
# 在内网Trust接口配置回环NAT
[FW]interface GigabitEthernet 1/0/1
nat outbound 3000
quit
5. 放行安全策略(必配,否则拦截)
plaintext
[FW]security-policy ip
# 外网访问映射服务器放行
rule 0 name Untrust-To-Server
source-zone Untrust
destination-zone Trust
destination-address 192.168.1.100 0
service tcp destination-port eq 80
action pass
# 内网互访默认可通,如有限制补充:
rule 10 name Trust-All
source-zone Trust
destination-zone any
action pass
quit
三、如果是多端口 / 多服务器扩展示例
多端口同一台服务器
plaintext
nat server protocol tcp global 203.0.113.10 8080 inside 192.168.1.100 8080
nat server protocol tcp global 203.0.113.10 3389 inside 192.168.1.100 3389
多公网 IP 映射多台服务器
plaintext
nat server protocol tcp global 203.0.113.11 80 inside 192.168.1.101 80
四、两种访问逻辑拆解
外网访问流程
外网 IP → 防火墙 Untrust 口 → nat server 转换目的地址 → 转发内网服务器,全局 NAT 不影响入站映射。
内网电脑访问公网 IP(203.0.113.10)流程
内网主机 192.168.1.x → Trust 接口回环 NAT:
源 IP:192.168.1.x → 转换为防火墙内网口 192.168.1.1
目的 IP:203.0.113.10 → nat server 自动转为 192.168.1.100
服务器回包给防火墙网关,正常转发回内网主机。
五、常见故障排查
内网无法用公网 IP 访问
缺少 nat outbound 3000 内网回环 NAT;
ACL3000 网段、端口匹配错误。
外网打不开映射端口
安全策略未放行 Untrust→Trust 对应端口;
运营商封禁 80/443 等常用端口;
服务器本地防火墙拦截端口。
全局 NAT 和 nat server 冲突
H3C 防火墙 nat server 优先级高于 outbound 全局 NAT,不会冲突,无需额外调整。
查看验证命令
plaintext
# 查看端口映射
display nat server
# 查看NAT会话
display nat session table
# 查看安全策略匹配计数
display security-policy ip rule all
# 查看接口NAT配置
display current-configuration interface GigabitEthernet 1/0/0
display current-configuration interface GigabitEthernet 1/0/1
补充:Web 界面简易配置逻辑
网络→NAT→服务器映射:新增 TCP,公网 IP 端口、内网 IP 端口;
网络→NAT→出站 NAT:外网口创建全局 Easy NAT;
网络→NAT→出站 NAT:内网口新建回环 NAT,ACL 匹配内网访问公网服务器流量;
策略→安全策略放行外网到服务器端口。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论