USG6000系列如何进行批量端口映射精华

USG6000系列如何进行批量端口映射精华

可以通过目的NAT功能来实现。下面对sever1的10000~20000端口和sever2的8088端口进行批量映射为例进行说明。 

假设1.1.1.1为usg做映射用的公网地址，192.168.1.252为服务器1地址，192.168.1.253为服务器2地址。外网属于untrust区域，服务器属于trust区域。

 # 

acl number 3000 

 rule 5 permit tcp destination 1.1.1.1 0 destination-port range 10000 20000 

acl number 3001 

 rule 5 permit tcp destination 1.1.1.1 0 destination-port eq 8088

# 

firewall zone untrust 

 destination-nat 3000 address 192.168.1.252 

 destination-nat 3001 address 192.168.1.253 

# 

 

注意：在做上述配置后，还要配置防火墙的安全策略放行外网对服务器的访问，参考如下： 

# 

security-policy 

  rule name fuwuqi   

   source-zone untrust   

   destination-zone trust   

   destination-address 192.168.1.252 mask 255.255.255.255   

   destination-address 192.168.1.253 mask 255.255.255.255   

   action permit 

#

https://forum.huawei.com/enterprise/zh/thread/580911745634025472