NAT后网络回流造成内网无法通过公网IP访问应用服务器

一、思科设备示例1.1Router示例Router(config)#interfacee0/0Router(config-if)#ipaddRouter(config-if)#ipnatinsideRouter(config)#interfacee0/1Router(config-if)#ipadd648Router(config-if)#ipnatoutsideRouter(config)#ipnatinsidesourcestatictcp0080580Router(config)#access-list1permit55Router(config)#ipnatinsidesourcelist1interfacee0/1overloadRouter(config)#iproute1Router(config)#ipdnsserverRouter(config)#ipdomain-lookupRouter(config)#ipname-server6Router(config)#00内部网络主机的DNS配置成1.2Firewall示例A方法：static(inside,outside)500netmask55access-list100extendedpermittcpanyhost5eq80access-group100ininterfaceousidealias(inside)00555注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdnsmaximum-length512B方法：static(inside,outside)500netmask55dnsaccess-list100extendedpermittcpanyhost5eq80access-group100ininterfaceouside二、华为与华三设备示例h3cinterfaceethernet0/0/0h3c-ethernet0/0/0ipaddress548h3c-ethernet0/0/0natoutbound2000h3c-ethernet0/0/0natserverprotocoltcpglobal5wwwinside00wwwh3c-ethernet0/0/0natserverprotocoltcpglobal5ftpinside00ftph3c-ethernet0/0/0quith3caclnumber2000h3c-acl-basic-2000rule0permitsource55h3c-acl-basic-2000rule1denyh3cinterfaceethernet1/0/0h3c-ethernet1/0/0521tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：h3caclnumber3000h3c-acl-basic-3000rulepermitipsource55destination00h3cinterfaceethernet1/0/0h3c-ethernet1/0/0natoutbound3000h3c-ethernet1/0/0natserverprotocoltcpglobal5wwwinside00www三、天融信设备示例企业WEB服务器（IP：）通过防火墙MAP为01对内网用户提供WEB服务管理主机和WEB服务器同样处于网段/24。正常情况下，管理主机与服务器之间的通信可以不经过防火墙，而经过其他路由达成。但是当管理主机使用公网地址（或域名）访问服务器时，数据包的源IP为管理主机地址，目的地址为服务器公网地址。如果防火墙仅作目的NAT，则服务器收到数据包的源IP为管理主机地址，目的地址为自身地址。当其回应管理主机时，发出的数据包会不经过防火墙，而经过其他路由达成。此情况会导致会话无法建立。因此需要设置双向地址转换规则。配置命令：defineareaaddnameE0attributeeth0accessoffdefineareaaddnameE1attributeeth0accessondefinehostaddnameWEB_serveripaddrdefinehostaddnameMAP_IPipaddr01definehostaddnameMAP_USERIPipaddrnatpolicyaddsrcar