服务映射后外部网络不能访问

一、 正确配置模板（以 TCP 80 端口为例）

二、 标准化排查流程

• 确认外网接口获取到的 IP 是真实的公网 IP，而非运营商的大内网 IP（如 10.x、100.x 开头）。
• 确认运营商是否屏蔽了外部端口（如 80、443、8080 等常见 Web 端口通常需要备案才能使用）。建议将外部映射端口更改为高位端口（如 8080、9090）进行测试。

• 确认是否开启了“安全策略严格匹配”模式。如果开启，未命中任何规则的流量将被默认拒绝，必须精准配置放行规则。
• 检查策略中是否误加了源地址限制，测试阶段建议源地址设为 any。

• 确认服务器已正确配置网关，且网关指向防火墙的内网接口 IP。
• 检查服务器操作系统自带的防火墙（如 Windows Defender 防火墙、Linux iptables/firewalld）是否放行了对应端口。

• 如果防火墙配置了多条外网线路，必须确保开启了“源进源出”功能，否则外网请求从 WAN1 进来，回包可能从 WAN2 出去，导致会话中断。

• 在防火墙上执行 display session table destination <公网IP> 或 display session table destination <内网服务器IP>，观察是否有外网访问的会话生成。如果有会话但无法访问，说明是回包路径或服务器问题；如果无会话，说明流量在防火墙入口就被丢弃（重点查安全策略或物理链路）。

需要放行Untrust any

到Trust  内网地址和服务的安全策略 

1、检查下内部业务是否正常

2、检查下防火墙dnat的配置情况

3、检查下防火墙安全策略问题

SecPath F1000 NAT Server（服务映射）外网无法访问完整排查流程 + 标准正确配置
一、组网基础梳理
内网域：trust，内网服务器：192.168.1.100 端口 80
外网域：untrust，外网接口 GE1/0/0，公网 IP：203.0.113.10
需求：外网访问 203.0.113.10:80 映射到内网 192.168.1.100:80
二、标准完整可落地配置（i-Ware V7）
1. 接口 + 安全域绑定
bash
运行
system-view
# 外网接口untrust
interface GigabitEthernet 1/0/0
port link-mode route
ip address 203.0.113.10 255.255.255.0
security-zone untrust

# 内网接口trust
interface GigabitEthernet 1/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
security-zone trust
2. NAT Server 服务映射
bash
运行
# 固定公网IP映射
nat server protocol tcp global 203.0.113.10 80 inside 192.168.1.100 80 rule web-map
# 若用接口动态IP，可写 current-interface
# nat server protocol tcp global current-interface 80 inside 192.168.1.100 80 rule web-map
3. 域间安全策略（最容易漏配，外网不通头号原因）
流量方向：untrust → trust，必须放行外网访问内网服务器端口
bash
运行
security-policy
rule 10 permit source any destination 192.168.1.100 0 service tcp destination-port eq 80
4. 回程路由保证（防火墙能回包给外网）
默认路由指向运营商网关（示例网关 203.0.113.1）
bash
运行
ip route-static 0.0.0.0 0 203.0.113.1 preference 60
5. 内网服务器回程路由（关键）
内网服务器网关必须填防火墙 trust 接口 IP 192.168.1.1，否则回包不经过防火墙，会话断裂。
三、分层排查流程（按顺序执行，快速定位故障点）
步骤 1：检查 NAT Server 配置是否生效
bash
运行
display nat server
正常输出能看到你配置的 global/inside 地址端口；无输出 = 配置没保存 / 敲错命令。
步骤 2：测试防火墙本机能否访问内网服务器
bash
运行
ping 192.168.1.100
telnet 192.168.1.100 80
不通：内网服务器关机、防火墙 trust 接口不通、服务器防火墙拦截、网关错误；
通：内网链路无问题，故障在外网侧 / 安全策略。
步骤 3：检查 untrust→trust 域间安全策略（最高概率故障）
bash
运行
display security-policy rule all | include 192.168.1.100
无匹配规则：外网流量被防火墙直接丢弃，新增 permit 规则；
规则存在但不生效：源 / 目的 / 端口写错、规则被 deny 规则覆盖。
步骤 4：查看 NAT 会话表，判断流量是否到达防火墙
bash
运行
display nat session table destination 192.168.1.100
无任何会话表项：外网流量根本没到防火墙
排查：运营商封禁端口、公网 IP 配置错误、上层路由没引流到防火墙；
存在入站会话、无回程会话：内网服务器无法回包
排查服务器网关、服务器本地防火墙、内网回程路由；
会话频繁创建马上消失：安全策略 deny、服务器端口未监听。
步骤 5：报文调试定位丢包位置（终极定位）
bash
运行
acl number 3000
rule permit tcp destination 192.168.1.100 0 eq 80
debugging ip packet acl 3000
terminal monitor
terminal debugging
只收到外网入包，无回程报文：内网服务器不回包；
入包直接被丢弃：安全策略拦截；
完全无报文：运营商拦截 / 公网路由问题。
步骤 6：排查运营商侧端口封禁
很多运营商封禁 22/80/443/3389/8080/9090 等端口。
测试方法：更换公网映射端口，例如公网 8080 映射内网 80
bash
运行
nat server protocol tcp global 203.0.113.10 8080 inside 192.168.1.100 80 rule web-test
换端口能访问 = 运营商封禁原端口。
步骤 7：检查服务器自身防火墙 / 监听端口
Linux：iptables/firewalld 放行对应端口，ss/nginx 正常监听；
Windows：防火墙入站规则放行 80，服务正常启动；
服务器网关必须指向防火墙 trust 接口 IP。
四、高频故障总结（90% 现场问题）
未配置 untrust 到 trust 放行安全策略（最常见）
内网服务器网关不是防火墙内网口，回包不经过防火墙，会话断裂
运营商封禁对外映射端口
NAT Server 内外端口、IP 地址书写错误
缺少默认路由，防火墙无法将应答包发回外网
服务器本地防火墙拦截外网转换后的访问源 IP
上层交换机 / 路由器 ACL 拦截公网访问防火墙公网 IP 端口
五、内网用户用公网 IP 访问服务器补充（hairpin）
若内网电脑通过公网 IP 无法访问，在出接口开启 NAT 回流：
bash
运行
interface GigabitEthernet 1/0/0
nat hairpin enable
外网访问不受 hairpin 影响，仅内网访问公网 IP 场景需要。