1.需求分析

内网有相应的服务需要提供给外网用户进行访问，外网用户能通过防火墙公网地址访问到内网服务器真实业务。

2.解决方案

软件版本：StoneOS 5.5R3P9

硬件平台：SG-6000-E1700

外网通过设备公网 IP 39.98.200.40:8081访问内网地址的 10.1.1.1 的 HTTP 80服务。

先在对象中找到服务簿，自定义一个tcp-8081端口。

注：目的端口为固定端口时，配置最小和最大一致，连续范围端口可以配置一个区间。在没有指定源端口的情况下，不用填写源端口，如果配置，会导致DNAT不匹配。（因一般源端口是随机，目的端口固定）

可以在更多配置里开启记录日志，方便验证。

配置完成。如果出现映射不通的情况下，请按照以下步骤检查：

（1）监控是否有日志，没有日志检查DNAT 配置及自定义服务。

（2）若配置没有问题，检查内网端口是否可达（可以通过SLB服务探测功能协助检查）。

（3）若内网端口不可达，检查内网路由。

（4）若内网端口可达，更换外网端口测试，测试成功则是外网端口问题。

（5）如果外网端口测试失败，debug抓包看数据包是否到防火墙，未到防火墙则是运营商问题；到防火墙被丢弃或内网没有回包，则查看丢弃原因；内网没回包考虑是内网没有回指路由的原因，可以做SNAT转换成内网接口测试。

更多其他精彩内容请见： 山石网科知识库