华为防火墙USG6330 NAT 配置

需求：公网 1.1.1.1：80 端口NAT到内网 192.168.1.1：80

准备：1.1.1.1 首先需去ISP报备后才能做端口NAT，切记：一定要报备，没报备可能会出现当时通，一段时间后又不通。深受其害，怀疑过设备 怀疑过线路 就是没怀疑ISP扫描

防火墙-对象-服务 新建-名称 描述 自定义-协议TCP 源端口 0-65536 目的端口XX（），名称http端口80系统已定义好

策略-安全策略定义：untrust-trust 源地址;any 目的地址：192.168.1.1 接入 终端 都设置 any -服务定义：http（系统定义好端口80简称http），非http端口可在服务中定义端口。

策略-服务器映射 ；静态映射-安全域（any）-公网地址-（1.1.1.1）-私网地址（192.168.1.1）-（勾选）允许端口转换-协议（tcp）-公网端口80-私网端口80

总结：先定义服务端口-再定义 untrust to trust 策略 ，最后定义 公网端口和内网端口。

做完以上操作已经完成，非本地出口打开 1.1.1.1 直接访问内网192.168.1.1 应用，要实现本地打开公网1.1.1.1地址访问192.168.1.1服务器需加一条策略（适合做域名解析时，局域网访问域名不通）

策略-源NAT-NAT地址池（新建-IP范围1.1.1.1-1.1.1.1）-（勾选）允许端口转换

源NAT-源安全域 -目的安全域（trust to trust） 源地址192.168.1.0/16 目的地址 192.168.1.1 动作允许。 切记-没有trust to trust 策略 内部主机无法解析域名

扩展：内部192.168.1.0/24 通过1,1,1,1 上网

（策略-安全策略）定义：trust to untrust 源地址 192.168.1.0 目的地址 any 动作允许

（策略-源NAT）定义 trust to untrust 源地址 192.168.1.0 目的地址 any 动作 NAT转换 转换后源地址 -接口地址

交流 QQ 89177519