端口回流问题 , 即内网PC用公网接口的公网IP访问内部服务器的问题, 公网PC用公网IP访问内部服务器只需要在出接口一个nat server映射即可

华为路由器方法

acl number 2000  //匹配内网主机 用于出接口的源地址NAT转换
rule 5 permit source 192.168.0.0 0.0.0.255
acl number 3000 //用于解决端口回流acl 用于内网接口的源地址NAT转换
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 3.3.3.3 0

interface GigabitEthernet0/0/0  出接口
ip address 3.3.3.3 255.255.255.0
nat server protocol tcp global current-interface www inside 192.168.0.100 www//目标地址NAT转换 映射内部服务器 用于在公网上用出接口的公网IP访问内部服务器的映射
nat outbound 2000 //内网用户上网 源NAT转换

interface GigabitEthernet0/0/1 //出口路由的内网口
ip address 192.168.0.1 255.255.255.0

//目标地址NAT转换 即把内网用户的目标IP即出接口的公网IP 转为0.1 解决端口回流

nat static protocol tcp global inteface g0/0/0 www inside 192.168.0.100 www netmask 255.255.255.0 
nat outbound 3000 //源地址NAT转换 即把源私有IP转为出接口的目标IP 解决端口回流
ip route-static 0.0.0.0 0.0.0.0 3.3.3.1
ip route-static 192.168.0.0 255.255.255.0 2.2.2.2
return
综述源及目标地址的NAT过程: 比如192.168.0.10-3.3.3.3==>192.168.0.1=>192.168.0.100=>再原路回来 来回路径一致OK
配置思路:
出接口上配置源地址NAT让内网用户上互联网,匹配一个标准源IP ACL---nat outbound 源地址转换
出接口上配置目标地址NAT让外网用户能够访问内部主机的服务如www---nat server protocol...目标地址转换
内网接口 源地址转换匹配一个高级3000以上的ACL 定义源私有地址址 到出接口的公网IP的流 nat outbound
内网接口 目标地址转换 同出接口

华为防火墙端口回流处理方法：出口是easy-ip做法：
nat server 0 protocol tcp global 12.1.1.1 www inside 10.0.0.200 www
nat-policy
rule name out_inter
destination-address 10.0.0.200 0.0.0.0
action source-nat easy-ip

rule name nat1
source-zone trust
destination-zone untrust
source-address 10.0.0.0 mask 255.255.255.0
action source-nat easy-ip

出口是地址池做法：
nat server 0 protocol tcp global 12.1.1.1 www inside 10.0.0.200 www
nat address-group 1 12.1.1.1 12.1.1.1 //假如只有一个公网地址
nat-policy zone trust
policy 1
policy destation 10.0.0.200 0.0.0.0
action source-nat
address-group 1

锐捷
正常端口映射再尾部加上permit-inside
ip nat inside source static tcp 服务器ip 80 公网ip 80 permit-inside

华三在出口路由器下联的内网口上打上nat hairpin enable