- 类型:端口映射;
- 源地址:any,代表来自任意的外网用户;
- 公开地址:防火墙外网接口的IP,也就是需要映射出来的公网IP;
- 对外服务:映射后的服务;可以与实际服务器的服务不一致,比如需要将原来服务器80端口映射为8080;此处就需要配置为8080;
- 公开地址映射为:填入服务器的IP地址;对外服务映射为:填写服务器将被映射的服务;
- 说明:此时没有进行源地址转换,服务器上看到都是真实的外网用户IP地址。
满足内网用户使用公网地址的访问
- 类型:端口映射;
- 源地址:any,代表来自任意的外网用户;
- 公开地址:防火墙外网接口的IP,也就是需要映射出来的公网IP;
- 对外服务:映射后的服务;可以与实际服务器的服务不一致,比如需要将原来服务器80端口映射为8080;此处就需要配置为8080;
- 公开地址映射为:填入服务器的IP地址;
- 对外服务映射为:填写服务器将被映射的服务;
- 源地址转换为:转换为防火墙上的IP,比如内网口IP;
- 说明:此时进行源地址转换,服务器上看到都是转换后的地址,无法看到实际内网用户的IP。
二、多出口场景配置思路
多出口场景的端口映射,分别完成两个出口的端口映射配置后需要配置源路由,确保“源进源出,来回路径一致”。
举个双出口的例子,分别有电信、联通两个出口,分别完成两个出口的端口映射配置,此时需要配置两组源路由。
1、内网口,启用允许源IP路由
2、分配配置电信、联通出口的源路由。目的:确保外网用户访问源进源出,来回路径一致。
- 源地址:映射为电信、联通的公网IP;
- 目的地址:0.0.0.0/0.0.0.0任意;
- 下一跳:分别为电信、联通的网关;
3、内网用户访问电信、联通端口映射的源路由的配置。目的:确保外网用户访问源进源出,来回路径一致。
- 源地址:映射为电信、联通的公网IP;
- 目的地址:内网服务器网段;
- 下一跳:内网核心交换机;
三、常见问题
1、端口映射不成功,常见的环境问题
- 80、8080、8088端口默认关闭,需要公安部报备后开放; 测试方法:服务器直接连接公网或者搭建个简易的WEB服务器进行测试;
- 服务器启用防火墙,限制访问IP网段;或者网页代码限制; 测试方法:登录服务器核实配置或使用新内网网段进行访问测试;
- 服务器上网异常,或者没有通过配置映射的防火墙上网; 测试方法:登录服务器测试上网是否正常,tracert确认上网的路径;
- 服务器本身服务映射不正常; 测试方法:内网用户使用服务器内网IP访问测试;