华为防火墙如何做端口映射？为什么华为防火墙做端口映射后内网无法通过公网地址访问部署在内部的服务器？下面IT备忘录小编就给大家分享一个实例教程，帮助大家分析端口映射不成功的原因。

华为防火墙端口映射实例教程：

案例：内网用户通过公网地址访问内网服务器不通（策略路由场景）

问题描述

版本信息：usg6305 v5r005c10

组网拓扑

场景说明：

内网用户pc1,client，ftp服务器都在trust区域。ftp服务器是在防火墙上做了映射，并且做了策略路由指定pc1和client做ips1,ftp服务器走ips2。把服务器的服务映射到了防火墙上接口地址200.x.x.1的21端口。目前外网可以访问，内网无法访问。

处理过程

检查防火墙配置，只配置了服务器映射，没有做域内nat,并且策略路由里面也没有做相关策略。

因此需要首先需要做域内nat

第一步：首先内网用户通过公网地址访问，需要做域内nat，配置如下。

nat address-group 1 0
 mode pat
 route enable
 section 0 20.x.x.2 20.x.x.2
nat-policy
 rule name b
  source-zone trust
  destination-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.0 mask 255.255.255.0
  action source-nat address-group 1

域内nat做完后，通常需要把策略置顶，因为上网的nat会在域内nat之前。因此需要需要把新增的域内nat策略置顶。这里的目的地址是转换后的地址，因为nat server匹配在nat策略之前。

第二步：由于做了策略路由，会导致192.x.x.10访问200.x.x.1的包被转换到公网去，因此我们需要在策略路由里面去添加pc访问服务器不做策略路由的策略，同样这个策略也需要放在指定192.x.x.0网段走IPS1的策略路由之前

policy-based-route
rule name c
  source-zone trust
  source-address 192.x.x.0 mask 255.255.255.0
  destination-address 172.x.x.20 mask 255.255.255.255
  action no-pbr

注意：这里的目的地址也要写服务器的私网地址（大家需要根据自己的内网地址和内网服务器地址做相应的修改）

第三步：服务器的回包也会匹配到策略路由被转换到公网去，因此还需要做一个服务器访问客户端不做策略路由转换的策略，配置如果下，这个也需要放置在服务器走指定ips2的策略路由之前

policy-based-route
 rule name d
  source-zone trust
  source-address 172.x.x.0 mask 255.255.255.0
  destination-address 192.x.x.0 mask 255.255.255.0
  action no-pbr

（移动策略路由的命令，在policy-based-route下执行rule move d top  移动到策略路由顶部)

根本原因：

缺少域内nat，策略路由场景，还需要做客户端和服务器互访不做策略路由转换策略

解决方案：

添加域内nat，并且置顶，添加客户端和服务器互访不做策略路由转换，并且置顶。