H3C防火墙，内外网双线，如何让内网用户访问指定外网网站？

no1434

H3C防火墙上

端口1内网：17.88.1.1
端口2外网：198.168.1.1


如何让内网用户通过端口2访问外网网站www.qq.com?

gamewfj

no1434 发表于 2024-4-8 18:12
大佬，不会命令，有没有GUI的配置方法

https://www.h3c.com/cn/d_202208/1675239_30005_0.htm

官方配置指导下链接，WEB配置指导，有图文说明

syd1990

1、创建NAT策略：您需要创建一个NAT策略，将内网IP地址转换为外网IP地址，以允许内网用户通过外网端口访问互联网。
2、配置端口映射：将内网端口映射到外网端口，确保内网用户请求的数据能够正确地转发到外网目标。

syd1990

[Python] 纯文本查看 复制代码

firewall-nat-policy policy1
  policy-nat-rule rule1
    source-zone inside
    destination-zone outside
    source-address 17.88.1.1
    destination-address [url]www.qq.com[/url]
    translated-address 198.168.1.1
    action source-nat
  quit

firewall-nat-policy policy2
  policy-nat-rule rule2
    source-zone inside
    destination-zone outside
    source-address 17.88.1.1
    destination-address [url]www.qq.com[/url]
    translated-address 198.168.1.1
    action source-nat
    service http
  quit

创建了两个NAT策略（policy1和policy2），每个策略下有一个NAT规则（rule1和rule2），
第一个策略（policy）适用于所有的流量，第二个NAT策略（policy2）只适用于HTTP流量（网页访问）

jjqqppp

直接改下路由的hotes不就好了

纯之风韵

虽然代码好使吧，但是感觉华三的设备一点都不智能，同样锐捷的设备点点点就能搞定，华三还是传统命令，对于我这种代码不敏感的人感觉几乎都是瞎子一样，单纯吐槽，没有别的意思

gamewfj

配置样例，接口和IP地址根据实际修改。
配置防火墙基本上网
# 外网接口G1/0/1配置运营商给的静态ip地址
interface GigabitEthernet1/0/1
ip address 198.76.28.30 255.255.255.252
nat outbound
# 内网接口G1/0/3配置自定义的内网静态ip地址
interface GigabitEthernet1/0/2
ip address 192.168.2.1 255.255.255.0
#将内网接口加入trust域
security-zone name trust
import interface GigabitEthernet1/0/3
#将外网接口加入untrust域
security-zone name Untrust
import interface GigabitEthernet1/0/1

#配置安全策略
security-policy ip
rule 0 name trust-untrust （放通内网到外网的访问）
  action pass
  source-zone trust
  destination-zone untrust


然后PC网关设置成防火墙内网口IP

no1434

gamewfj 发表于 2024-4-8 17:56
配置样例，接口和IP地址根据实际修改。
配置防火墙基本上网
# 外网接口G1/0/1配置运营商给的静态ip地址
...

大佬，不会命令，有没有GUI的配置方法

洛洛伽罗

根据防火墙的型号和版本信息，查询是否支持gui，对应nat技术的产品技术文档也可以到官网查询下。--解决思路。