一、先梳理你当前 NAT 配置信息
- 外网接口:GE1/0/0,安全域 WAN,公网 IP:
111.15.8.244/26
- NAT 内部服务器配置:
- 协议:TCP (6),外网端口 9000,内网服务器
192.168.1.14:9000
- 外网地址方式:Easy IP(借用接口主 IP 111.15.8.244)
- 允许反向地址转换:否(这里是第一个大坑)
- 规则已启用
核心不通根因 + 分步排查
1. 致命问题:允许反向地址转换 = 否
Easy IP 内网服务器场景,必须开启「允许反向地址转换 = 是」
- 作用:内网服务器主动向外网发起访问时,防火墙自动做源 NAT 转换成 111.15.8.244;同时外网回包、内网主动访问外网业务双向正常。
- 你现在选 “否” 只会处理外网主动入站的端口映射,内网服务器主动发包出去会无 NAT,回程路由异常直接断流。
修复:打开 NAT 配置,把「允许反向地址转换」勾选是,保存规则。
2. 安全域策略放行(90% 不通是策略拦截)
① 外网用户访问服务器(Untrust→Trust)
源:任意,目的:内网服务器 192.168.1.14,服务:TCP 9000,动作:允许
② 服务器主动访问外网(Trust→Untrust)
源:192.168.1.14,目的:任意,服务:任意,动作:允许
检查点:你的内网服务器所在接口 / 安全域是不是 Trust 域,GE1/0/0 是 WAN/Untrust 域,域间策略必须双向放行 9000 端口。
3. 内网服务器网关是否指向防火墙内网接口 IP
服务器192.168.1.14默认网关必须是防火墙内网三层接口 IP:
- 如果网关填了交换机,外网访问 9000 的回程报文会丢,无法回包给防火墙做 NAT 转换。
验证方法:服务器上
tracert 8.8.8.8,第一跳必须是防火墙内网口地址。
4. 公网网段掩码限制:111.15.8.244/26
/26 网段地址范围:111.15.8.193 ~ 111.15.8.254,网关一般是 193,确认两点:
- 运营商侧是否放通 9000 端口(很多运营商封禁高危端口、非标准端口,部分专线只开放 80/443/3389 等)
- 运营商是否做了上行 ACL 拦截入站 9000,可临时换 8080/8090 端口测试区分是防火墙还是运营商拦截。
5. NAT 匹配规则校验
命令行排查(H3C 防火墙通用)
# 查看NAT内部服务器规则是否生效
display nat internal server
# 抓包看是否匹配NAT转换
debugging nat packet
terminal debugging
# 外网访问111.15.8.244 9000,看是否有转换日志
- 有转换日志:NAT 正常,问题在安全策略 / 服务器防火墙
- 无转换日志:NAT 规则没匹配,检查端口、协议、接口配置
6. 服务器本地防火墙拦截
192.168.1.14 服务器自身防火墙(Windows 防火墙 /iptables)拦截了 9000 端口入站请求,即使防火墙映射成功,服务器不响应也会访问超时。
测试:在内网同网段电脑访问
192.168.1.14:9000,能通说明服务器端口正常;内网都不通,先排查服务器服务 / 防火墙。
二、快速排障执行顺序(按优先级操作)
- 修改 NAT 规则:允许反向地址转换 = 是,保存应用
- 配置 Untrust→Trust 域策略,放行 TCP9000
- 配置 Trust→Untrust 域全通策略(服务器主动出网)
- 内网测试:同网段访问 192.168.1.14:9000,确认服务正常
- 服务器确认默认网关为防火墙内网接口 IP
- 外网测试访问
111.15.8.244:9000,不通则更换端口(如 8080)排除运营商拦截
- 命令行 debug nat 抓包,确认 NAT 是否执行地址转换
三、补充关键知识点
Easy IP 内部服务器(借用接口公网 IP)和固定公网 IP 的区别:
- 固定 IP 方式:反向地址转换可选否;
- Easy IP 方式:强制开启反向转换,否则内网服务器回程 / 主动出网全部异常,这是你当前配置最核心错误。