華為防火墻如何做端口映射？為什么華為防火墻做端口映射后內(nèi)網(wǎng)無法通過公網(wǎng)地址訪問部署在內(nèi)部的服務(wù)器？下面IT備忘錄小編就給大家分享一個實例教程，幫助大家分析端口映射不成功的原因。

華為防火墻端口映射實例教程：

案例：內(nèi)網(wǎng)用戶通過公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器不通（策略路由場景）

問題描述

版本信息：usg6305 v5r005c10

組網(wǎng)拓?fù)?/span>

場景說明：

內(nèi)網(wǎng)用戶pc1,client，ftp服務(wù)器都在trust區(qū)域。ftp服務(wù)器是在防火墻上做了映射，并且做了策略路由指定pc1和client做ips1,ftp服務(wù)器走ips2。把服務(wù)器的服務(wù)映射到了防火墻上接口地址200.x.x.1的21端口。目前外網(wǎng)可以訪問，內(nèi)網(wǎng)無法訪問。

處理過程

檢查防火墻配置，只配置了服務(wù)器映射，沒有做域內(nèi)nat,并且策略路由里面也沒有做相關(guān)策略。

因此需要首先需要做域內(nèi)nat

第一步：首先內(nèi)網(wǎng)用戶通過公網(wǎng)地址訪問，需要做域內(nèi)nat，配置如下。

nat address-group 1 0
 mode pat
 route enable
 section 0 20.x.x.2 20.x.x.2
nat-policy
 rule name b
  source-zone trust
  destination-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.0 mask 255.255.255.0
  action source-nat address-group 1

域內(nèi)nat做完后，通常需要把策略置頂，因為上網(wǎng)的nat會在域內(nèi)nat之前。因此需要需要把新增的域內(nèi)nat策略置頂。這里的目的地址是轉(zhuǎn)換后的地址，因為nat server匹配在nat策略之前。

第二步：由于做了策略路由，會導(dǎo)致192.x.x.10訪問200.x.x.1的包被轉(zhuǎn)換到公網(wǎng)去，因此我們需要在策略路由里面去添加pc訪問服務(wù)器不做策略路由的策略，同樣這個策略也需要放在指定192.x.x.0網(wǎng)段走IPS1的策略路由之前

policy-based-route
rule name c
  source-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.20 mask 255.255.255.255
  action no-pbr

注意：這里的目的地址也要寫服務(wù)器的私網(wǎng)地址（大家需要根據(jù)自己的內(nèi)網(wǎng)地址和內(nèi)網(wǎng)服務(wù)器地址做相應(yīng)的修改）

第三步：服務(wù)器的回包也會匹配到策略路由被轉(zhuǎn)換到公網(wǎng)去，因此還需要做一個服務(wù)器訪問客戶端不做策略路由轉(zhuǎn)換的策略，配置如果下，這個也需要放置在服務(wù)器走指定ips2的策略路由之前

policy-based-route
 rule name d
  source-zone trust
  source-address 172.x.x.0 mask 255.255.255.0
  destination-address 192.x.x.0 mask 255.255.255.0
  action no-pbr

（移動策略路由的命令，在policy-based-route下執(zhí)行rule move d top  移動到策略路由頂部)

根本原因：

缺少域內(nèi)nat，策略路由場景，還需要做客戶端和服務(wù)器互訪不做策略路由轉(zhuǎn)換策略

解決方案：

添加域內(nèi)nat，并且置頂，添加客戶端和服務(wù)器互訪不做策略路由轉(zhuǎn)換，并且置頂。