路由器和防火墙端口映射

可以。
二级穿透是指NAT两次映射。
很多设备都是可以。生产环境遇到过不少例子都是这样的。
但是你的情况是在思科路由器上，如果将内部的系统映射出去，找相关的产品型号的设置。
防火墙的NAT映射是容易的。只要接在防火墙外网出来的网络就可以测试结果。

假如你的两个端口是inside和outside，Mail服务器用的smtp和pop3：
static (inside,outside) 222222xxxx 192168100248
access-list acl-outside permit tcp any host 222222xxxx eq smtp
access-list acl-outside permit tcp any host 222222xxxx eq pop3
access-group acl-outside in interface outside
fixup protocol smtp 25

按照如下的方法重写：
object network host
host 192168311
object service 3326
service tcp source eq 3326
object service 1500
service tcp source eq 1500
nat (inside,outside) source static host interface service 3326 1500
access-list outside_access_in exteneded permit tcp any object host eq 3326

外网访问内网首先服务器必须影射到外网地址才可以访问，如果你的地址是内网的，外网无法访问，必须登录路由器映射IP和端口。FTP的端口和外网端口设置也必须一样，FTP默认21端口，在路由的端口映射里，添加你的IP，也就是1921681100，而端口填21。
方法二
1在内网安装nat123软件。
2启用nat123。添加端口映射。选择自己需要内网发布到外网的应用。如网站应用80端口映射，或其他，或全端口映射所有应用。可以使用自己的顶级域名，或直接使用默认提示的二级域名。
3域名映射后，用域名访问即可以了哦。就是这么简单实现外网访问内网。

如果主机不用划VLAN做单臂路由
只需要运用到NAT知识点和端口映射知识点
配置很简单，如下。
（假设PC0、PC1是自动获取IP地址、服务器设置成19216812 2552552550的静态C类IP）
Router>en
Router#conf t
Enter configuration commands, one per line End with CNTL/Z
Router4(config)#interface f0/1
Router4(config-if)#no shutdown
Router4(config-if)#ip address 1001001001 2552552550
Router4(config-if)#ip nat outside
Router4(config-if)#exit
Router4(config)#interface f0/0
Router4(config-if)#no shutdown
Router4(config-if)#ip nat inside
Router4(config-if)#exit
Router4(config)#ip dhcp pool 1
Router4(dhcp-config)#network 19216810 2552552550
Router4(dhcp-config)#default-router 19216811
Router4(dhcp-config)#dns 2021032468
Router4(dhcp-config)#exit
Router4(config)#ip dhcp ex 19216811
Router4(config)#access-list 1 permit 19216800 00255255
Router4(config)#ip nat inside source list 1 interface f0/1 overload
Router>en
Router#conf t
Router5(config)#inter f0/1
Router5(config-if)#no shutdown
Router5(config-if)#ip address 100100100100 2552552550
Router5(config-if)#ip nat outside
Router5(config-if)#exit
Router5(config)#interface f0/0
Router5(config-if)#no shutdown
Router5(config-if)#ip add 19216811 2552552550
Router5(config-if)#ip nat inside
Router5(config-if)#exit
Router5(config)#ip nat
Router5(config)#access-list 1 permit 19216800 00255255
Router5(config)#ip nat inside source list 1 interface f0/1 overload
Router5(config)#ip nat inside source static tcp 19216812 80 100100100100 80

---