Question

不做ACL限制，只用NAT端口地址转换，外网可以访问内网吗？为什么？

Answer 1

NAT端口地址转换可以访问内网，跟ACL限制关系不大，两个职能不同。一个是访问控制，一个是解决地址转换。
1 静态地址转换+端口复用地址转换
现在很多时候，网络中的服务器既为网络内部的客户提供网络服务，又同时为Internet中的用户提供访问服务。因此，如果采用端口复用地址转换或动态地址转换，将由于无法确定服务器的IP地址，而导致Internet用户无法实现对网络内部服务器的访问。此时，就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说，对服务器采用静态地址转换，以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换，使所有用户都享有访问Internet的权力。
2 TCP/UDP端口NAT映射
如果ISP提供的合法IP地址的数量较多，我们自然可以采用静态地址转换+端口复用动态地址转换的方式得以完美实现。但如果ISP只提供4个IP地址，其中2个作为网络号和广播地址而不可使用，1个IP地址要用于路由器定义为默认网关， 那么将只剩下1个IP地址可用。当然我们也可以利用这个仅存的一个IP地址采用端口复用地址转换技术，从而实现整个局域网的Internet接入。但是由于服务器也采用动态端口，因此，Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢？这就是TCP/UDP端口NAT映射。
我们知道，不同应用程序使用的TCP/UDP的端口是不同的，比如，Web服务使用80，FTP服务使用21，SMTP服务使用25，POP3服务使用110，等等。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个合法的IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet访问。

Answer 2

不可以，因为NAT中的acl不是用来做限制的，而定义了一个需要进行NAT的IP地址范围，在ACL中的IP地址将被进行地址转换

Answer 3

你问的题目不太明确，ACL跟NAT并没有什么直接或者必须的关系
我理解你的意思大概是用路由器做端口映射吧？ 外网是可以访问到内网的，比如80端口，将外网访问到路由器ip的端口映射到内网某一台电脑的80端口，外网就可以直接访问到内网机器的80端口以实现web应用，相应的110和25等端口也都可以~
如果将内网中某一台电脑设置为DMZ主机，则这台电脑为对外网全面开放，但是如果你想实现局域网中的某些功能比如共享文件等，则需要设置VPN虚拟连接才可以~