H3C 防火墙上配置端口映射

在 H3C 防火墙上配置端口映射（Port Forwarding）通常需要使用 NAT（网络地址转换） 功能，具体来说是通过 NAT Server 来实现。以下是详细的配置步骤和命令：

1. 确认网络拓扑

假设：

• 防火墙的 外网接口 是 GigabitEthernet1/0/3，IP 地址为 120.211.104.212。
• 防火墙的 内网接口 是 GigabitEthernet1/0/2，IP 地址为 10.0.39.70。
• 内网有一台服务器，IP 地址为 192.168.1.100，提供 HTTP 服务（端口 80）。

目标：将外网的 202.100.1.1:8080 映射到内网的 192.168.1.100:80。

2. 配置步骤

步骤 1：进入系统视图

<H3C> system-view

步骤 2：配置 NAT Server

使用 nat server 命令将外网地址和端口映射到内网地址和端口。

[H3C] interface GigabitEthernet1/0/1  # 进入外网接口
[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 202.100.1.1 8080 inside 192.168.1.100 80

• protocol tcp：指定协议为 TCP（如果是 UDP 服务，改为 udp）。
• global 202.100.1.1 8080：外网地址和端口。
• inside 192.168.1.100 80：内网地址和端口。

步骤 3：保存配置

[H3C] save

3. 验证配置

查看 NAT Server 配置

[H3C] display nat server

检查配置是否正确。

测试端口映射

从外网访问 http://202.100.1.1:8080，确认是否可以访问内网的 HTTP 服务。

4. 其他常见场景

映射多个端口

如果需要映射多个端口，可以配置多条 nat server 命令。例如，将外网的 202.100.1.1:8081 映射到内网的 192.168.1.100:21（FTP 服务）：

[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 202.100.1.1 8081 inside 192.168.1.100 21

映射所有端口

如果需要将外网的所有端口映射到内网服务器的所有端口，可以使用以下命令：

[H3C-GigabitEthernet1/0/1] nat server global 202.100.1.1 inside 192.168.1.100

映射到多个内网服务器

如果需要将外网的不同端口映射到不同的内网服务器，可以分别配置。例如：

[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 202.100.1.1 8080 inside 192.168.1.100 80
[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 202.100.1.1 8081 inside 192.168.1.101 21

5. 注意事项

• 防火墙策略：确保防火墙的安全策略允许外网访问映射的端口。
• 端口冲突：避免外网端口与防火墙自身服务端口冲突（如 SSH、HTTPS）。
• 公网 IP：确保防火墙的外网接口有公网 IP 地址。

通过以上配置，你可以成功在 H3C 防火墙上实现端口映射。如果有其他问题，欢迎继续提问！