華爲防火牆USG6330 NAT 配置

需求：公網 1.1.1.1：80  端口NAT到內網 192.168.1.1：80

準備：1.1.1.1 首先需去ISP報備後才能作端口NAT，切記：必定要報備，沒報備可能會出現當時通，一段時間後又不通。深受其害，懷疑過設備  懷疑過線路  就是沒懷疑ISP掃描

防火牆-對象-服務   新建-名稱 描述 自定義-協議TCP 源端口 0-65536 目的端口XX（），名稱http端口80系統已定義好

策略-安全策略定義：untrust-trust   源地址;any  目的地址：192.168.1.1  接入  終端  都設置 any -服務定義：http（系統定義好端口80簡稱http），非http端口可在服務中定義端口。

策略-服務器映射 ；靜態映射-安全域（any）-公網地址-（1.1.1.1）-私網地址（192.168.1.1）-（勾選）容許端口轉換-協議（tcp）-公網端口80-私網端口80

總結：先定義服務端口-再定義 untrust to trust 策略 ，最後定義 公網端口和內網端口。

作完以上操做已經完成，非本地出口打開 1.1.1.1 直接訪問內網192.168.1.1 應用，要實現本地打開公網1.1.1.1地址訪問192.168.1.1服務器需加一條策略（適合作域名解析時，局域網訪問域名不通）

策略-源NAT-NAT地址池（新建-IP範圍1.1.1.1-1.1.1.1）-（勾選）容許端口轉換

源NAT-源安全域 -目的安全域（trust to trust） 源地址192.168.1.0/16 目的地址 192.168.1.1 動做容許。 切記-沒有trust to trust 策略 內部主機沒法解析域名

擴展：內部192.168.1.0/24 經過1,1,1,1  上網

（策略-安全策略）定義：trust to untrust    源地址 192.168.1.0  目的地址 any  動做容許

（策略-源NAT）定義    trust to untrust      源地址 192.168.1.0  目的地址 any  動做 NAT轉換  轉換後源地址 -接口地址

交流 QQ   89177519