F1000-AK135防火墙DNAT问题

排查步骤及命令：
1. 确认配置正确性
执行 display firewall session table 查看会话表，确认外网请求是否被DNAT命中。
检查配置：display firewall policy 确认策略允许内外网双向通信，display firewall nat port-map 输出是否正确（公网地址、端口是否映射内网地址）。
2. 检查外网方向策略
执行 display firewall policy 确认是否存在外网入方向策略，允许公网IP访问映射端口。
若策略缺失，需添加：

firewall policy name DNAT-POLICY
rule permit source any destination 公网IP

3. 验证NAT表项
执行 display firewall nat session 检查DNAT会话是否建立，确认内网地址是否被正确转换。
4. 测试连通性
使用 tracert 或 ping 从外网IP分别测试公网和内网服务（如 curl 公网IP:30192）。
5. 排查防火墙硬件/软件
检查防火墙是否为多NAT模式，或是否存在端口限制（如 display firewall nat global-port）。
可能原因及解决：
策略未允许外网入站：补充允许外网访问映射端口的入站策略。
DNAT配置错误：检查 nat server 命令中内外网端口是否一致，公网地址是否正确。
内网防火墙拦截：若内网有其他设备，需确认其未拦截该端口。
防火墙版本限制：升级至支持全端口映射的固件版本。
关键命令示例：
bash
查看DNAT配置
display firewall nat server
检查会话表
display firewall session table
添加DNAT策略（示例）
firewall nat server protocol tcp global 公网IP 30192 inside 内网IP 30192
提示：若上述步骤无效，需确认公网IP是否为真实可访问地址，避免使用保留地址或未解析域名。