華為防火墻USG6330 NAT 配置

需求：公網(wǎng) 1.1.1.1：80  端口NAT到內(nèi)網(wǎng) 192.168.1.1：80

準(zhǔn)備：1.1.1.1 首先需去ISP報備后才能做端口NAT，切記：一定要報備，沒報備可能會出現(xiàn)當(dāng)時通，一段時間后又不通。深受其害，懷疑過設(shè)備  懷疑過線路  就是沒懷疑ISP掃描

防火墻-對象-服務(wù)   新建-名稱 描述 自定義-協(xié)議TCP 源端口 0-65536 目的端口XX（），名稱http端口80系統(tǒng)已定義好

策略-安全策略定義：untrust-trust   源地址;any  目的地址：192.168.1.1  接入  終端  都設(shè)置 any -服務(wù)定義：http（系統(tǒng)定義好端口80簡稱http），非http端口可在服務(wù)中定義端口。

策略-服務(wù)器映射 ；靜態(tài)映射-安全域（any）-公網(wǎng)地址-（1.1.1.1）-私網(wǎng)地址（192.168.1.1）-（勾選）允許端口轉(zhuǎn)換-協(xié)議（tcp）-公網(wǎng)端口80-私網(wǎng)端口80

總結(jié)：先定義服務(wù)端口-再定義 untrust to trust 策略 ，最后定義 公網(wǎng)端口和內(nèi)網(wǎng)端口。

做完以上操作已經(jīng)完成，非本地出口打開 1.1.1.1 直接訪問內(nèi)網(wǎng)192.168.1.1 應(yīng)用，要實現(xiàn)本地打開公網(wǎng)1.1.1.1地址訪問192.168.1.1服務(wù)器需加一條策略（適合做域名解析時，局域網(wǎng)訪問域名不通）

策略-源NAT-NAT地址池（新建-IP范圍1.1.1.1-1.1.1.1）-（勾選）允許端口轉(zhuǎn)換

源NAT-源安全域 -目的安全域（trust to trust） 源地址192.168.1.0/16 目的地址 192.168.1.1 動作允許。 切記-沒有trust to trust 策略 內(nèi)部主機(jī)無法解析域名

擴(kuò)展：內(nèi)部192.168.1.0/24 通過1,1,1,1  上網(wǎng)

（策略-安全策略）定義：trust to untrust    源地址 192.168.1.0  目的地址 any  動作允許

（策略-源NAT）定義    trust to untrust      源地址 192.168.1.0  目的地址 any  動作 NAT轉(zhuǎn)換  轉(zhuǎn)換后源地址 -接口地址

交流 QQ   89177519