摘要:内网SERVER 多个不连续的端口映射(一条命令策略搞定),如:TCP/UDP 9000,9010,9020 。
客户需求:
内网SERVER 多个不连续的端口映射(一条命令策略搞定),如:TCP/UDP 9000,9010,9020 。
解决:
华为USG防火墙中,可以实现多个不连续端口的映射,并且可以同时映射TCP和UDP协议。以下是一个具体的配置示例,假设需要将公网IP 10.0.0.1的 9000、9010、9020 端口映射到内网服务器 192.168.1.20 的对应端口,同时支持TCP和UDP协议。
ACL number 3000
rule 5 permit tcp destiNATion 10.0.0.1 0 destination-port eq 9000
rule 10 permit tcp destination 10.0.0.1 0 destination-port eq 9010
rule 15 permit tcp destination 10.0.0.1 0 destination-port eq 9020
rule 20 permit udp destination 10.0.0.1 0 destination-port eq 9000
rule 25 permit udp destination 10.0.0.1 0 destination-port eq 9010
rule 30 permit udp destination 10.0.0.1 0 destination-port eq 9020
//设置访问控制列表(ACL)匹配需要转换的协议端口
firewall zone untrust
add interface GigabitEthernet1/0/0
destination-nat 3000 address 192.168.1.20
//配置目的NAT
security-policy
rule name des-nat
source-zone untrust
destination-zone trust
destination-address 192.168.1.20 mask 255.255.255.255
action permit
//配置安全策略
display acl 3000display firewall zone untrustdisplay security-policy通过以上步骤,可以实现多个不连续端口的映射,并且同时支持TCP和UDP协议。
来源 华为O3论坛
来源:科技黑讲堂
