需求:公网 1.1.1.1:80  端口NAT到内网 192.168.1.1:80

准备:1.1.1.1 首先需去ISP报备后才能做端口NAT,切记:一定要报备,没报备可能会出现当时通,一段时间后又不通。深受其害j_0064.gif,怀疑过设备  怀疑过线路  就是没怀疑ISP扫描


防火墙-对象-服务   新建-名称 描述 自定义-协议TCP 源端口 0-65536 目的端口XX(),名称http端口80系统已定义好


策略-安全策略定义:untrust-trust   源地址;any  目的地址:192.168.1.1  接入  终端  都设置 any -服务定义:http(系统定义好端口80简称http),非http端口可在服务中定义端口。


策略-服务器映射 ;静态映射-安全域(any)-公网地址-(1.1.1.1)-私网地址(192.168.1.1)-(勾选)允许端口转换-协议(tcp)-公网端口80-私网端口80


总结:先定义服务端口-再定义 untrust to trust 策略 ,最后定义 公网端口和内网端口。

做完以上操作已经完成,非本地出口打开 1.1.1.1 直接访问内网192.168.1.1 应用,要实现本地打开公网1.1.1.1地址访问192.168.1.1服务器需加一条策略(适合做域名解析时,局域网访问域名不通)


策略-源NAT-NAT地址池(新建-IP范围1.1.1.1-1.1.1.1)-(勾选)允许端口转换

源NAT-源安全域 -目的安全域(trust to trust) 源地址192.168.1.0/16 目的地址 192.168.1.1 动作允许。 切记-没有trust to trust 策略 内部主机无法解析域名



扩展:内部192.168.1.0/24 通过1,1,1,1  上网

(策略-安全策略)定义:trust to untrust    源地址 192.168.1.0  目的地址 any  动作允许

(策略-源NAT)定义    trust to untrust      源地址 192.168.1.0  目的地址 any  动作 NAT转换  转换后源地址 -接口地址


交流 QQ   89177519