华为USG防火墙服务器映射端口后外网无法访问也许因素总结

华为USG系列防火墙服务器映射端口后外网无法访问可能原因总结分析，帮助遇到同类问题的网友。

问题描述

USG系列防火墙上单出口、多出口场景，配置服务器端口映射，外网无法通过映射访问到服务器的可能原因总结

解决方案

单出口场景

1、安全策略。 未配置到服务器私网地址允许的安全策略

2、服务器没有设置网关。通常判断办法，防火墙直接ping服务器可以ping通，带出口地址作为源地址无法ping通服务器。

3、运行商限制端口。常用五元组抓包或者五元组丢包统计来判断报文是否到设备，如无计数，更换外部端口。（PS：不能以没有会话表示设备没有收到报文，没有会话可能是被设备丢弃了）

4、服务器对应软件端口的服务未启用。可以在内网电脑访问服务器私网地址，确认下对应的端口服务是否启用。

5、服务器本身限制，仅允许同网段IP访问。该问题可以在防火墙上配置一条外网到内网的源nat策略，指定转换为可以访问的网段。

多出口场景

多出口在单出口的基础上还可能存在如下原因

1、多出口未启用源进源出，导致回包从其他接口出去。

2、IP欺骗攻击导致跨运营商无法访问。五元组丢包统计可以确认