华为USG6000防火墙.内网用户通过公网IP访问内部服务器 ...

较多人问内网如何通过公网IP、域名访问内部服务器，这里涉及数据回流问题，可以通过域内NAT来实现

配图环境如下：


配置思路

• 配置接口IP地址和安全区域，完成网络基本参数配置。
• 配置安全策略。
• 配置NAT Server功能，创建两条静态映射，分别映射内网Web服务器和FTP服务器。
• 配置源NAT策略使PC D可以访问服务器的公网地址。
• 在FW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
• 在FW上配置黑洞路由，避免FW与Router之间产生路由环路。
• 在Router上配置到服务器映射的公网地址的静态路由。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。 

# 配置接口GigabitEthernet 1/0/1的IP地址。
system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[http://utsvxa94.bqcrg.cn] quit

# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit

# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[http://wylfja35.gpztir.cn] quit

# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[http://gpdrqa107.wzwnof.cn] quit


2.配置安全策略。 
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[http://bpeyqa93.yrsgk.cn] quit
http://sptoba48.vvwop.cn

3.配置NAT地址池。 
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
http://jopgya69.yyefor.cn

4.配置源NAT策略。 
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
http://qxmtga146.rglbl.cn

5.配置NAT Server功能。 
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp


6.开启FTP协议的NAT ALG功能。 
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit
http://evfjna81.phhlsv.cn

7.配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。 
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254


8.配置黑洞路由，避免FW与http://tcofka10.yfcwba.cn之间产生路由环路。 
[FW] ip route-static 1.1.1.10 32 NULL 0


9.在Router上配置到服务器映射的公网地址（1.1.1.10）的静态路由，下一跳为1.1.1.1，使得去服务器的流量能够送往FW。 

通常需要联系ISP的网络管理员来配置此静态路由。