華為防火墻如何做端口映射？為什么華為防火墻做端口映射后內網無法通過公網地址訪問部署在內部的服務器？下面IT備忘錄小編就給大家分享一個實例教程，幫助大家分析端口映射不成功的原因。

華為防火墻端口映射實例教程：

案例：內網用戶通過公網地址訪問內網服務器不通（策略路由場景）

問題描述

版本信息：usg6305 v5r005c10

組網拓撲

場景說明：

內網用戶pc1,client，ftp服務器都在trust區域。ftp服務器是在防火墻上做了映射，并且做了策略路由指定pc1和client做ips1,ftp服務器走ips2。把服務器的服務映射到了防火墻上接口地址200.x.x.1的21端口。目前外網可以訪問，內網無法訪問。

處理過程

檢查防火墻配置，只配置了服務器映射，沒有做域內nat,并且策略路由里面也沒有做相關策略。

因此需要首先需要做域內nat

第一步：首先內網用戶通過公網地址訪問，需要做域內nat，配置如下。

nat address-group 1 0
 mode pat
 route enable
 section 0 20.x.x.2 20.x.x.2
nat-policy
 rule name b
  source-zone trust
  destination-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.0 mask 255.255.255.0
  action source-nat address-group 1

域內nat做完后，通常需要把策略置頂，因為上網的nat會在域內nat之前。因此需要需要把新增的域內nat策略置頂。這里的目的地址是轉換后的地址，因為nat server匹配在nat策略之前。

第二步：由于做了策略路由，會導致192.x.x.10訪問200.x.x.1的包被轉換到公網去，因此我們需要在策略路由里面去添加pc訪問服務器不做策略路由的策略，同樣這個策略也需要放在指定192.x.x.0網段走IPS1的策略路由之前

policy-based-route
rule name c
  source-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.20 mask 255.255.255.255
  action no-pbr

注意：這里的目的地址也要寫服務器的私網地址（大家需要根據自己的內網地址和內網服務器地址做相應的修改）

第三步：服務器的回包也會匹配到策略路由被轉換到公網去，因此還需要做一個服務器訪問客戶端不做策略路由轉換的策略，配置如果下，這個也需要放置在服務器走指定ips2的策略路由之前

policy-based-route
 rule name d
  source-zone trust
  source-address 172.x.x.0 mask 255.255.255.0
  destination-address 192.x.x.0 mask 255.255.255.0
  action no-pbr

（移動策略路由的命令，在policy-based-route下執行rule move d top  移動到策略路由頂部)

根本原因：

缺少域內nat，策略路由場景，還需要做客戶端和服務器互訪不做策略路由轉換策略

解決方案：

添加域內nat，并且置頂，添加客戶端和服務器互訪不做策略路由轉換，并且置頂。