轉自
http://kppx.blog.hexun.com/14523639_d.html好幾天沒更新了,最近在玩仙劍4,就等今天晚上打完最后6個BOSS就終局了。綾紗最后不知會怎么樣,念咒念咒念咒。。。
進入正題,今天說說硬件防火墻的端口映射配置,以及端口映射的應用。所謂端口映射,就是把“某個IP地址的某個端口(也叫套接字)映射到另一個IP地址的某個端口”,其實和NAT一樣,本來都是路由器的專利。但出于加強安全性的考慮,一般現在在內網出口布置的都是硬件防火墻,路由器的大部分功能也能實現。當然了,現在的新趨勢是IPS。。。
時下IPv4地址短缺,一個單位有一兩個固定IP就算不錯了,要實現內部網多臺主機上公網,不用說需要作NAT,把內部私有IP轉換成公網IP就搞定了。但如果需要對外發布一個以上的網站或其他服務,或是沒有VPN但需要作多臺主機(服務器)遠程控制,一兩個IP怎么說也是不夠的,這種時候就需要用到端口映射了(莫急,這就開始說了)。
一般來講,防火墻的默認包過濾規則是禁止,如果不做端口映射,外網地址的所有端口都是關閉(隱藏,檢測不到)的,不允許從外網主動發起的任何連接(這就是在內網使用某些P2P軟件顯示“您的外網端口無法被連接”之類信息的原因)。下面結合實際講講配置。俺公司兩臺防火墻,一臺天融信一臺聯想網御,聯想網御作外網應用。比如,現有如下需求:
外網IP地址123.123.123.123,需要將內部網192.168.1.10和192.168.1.11兩臺服務器上的HTTP服務對外發布。
外網地址只有1個,外網地址的80端口也只有1個,既然要發布兩個HTTP,也就不必(也沒辦法)拘泥于80端口。我們可以隨便選擇外網的端口號,比如,指定外網地址123.123.123.123的8080端口映射至內網192.168.1.10的80端口,指定外網地址123.123.123.123的8081端口映射至內網192.168.1.11的80端口。這里,如果沒有特殊要求,外網端口的選擇是任意的,外網用戶只要在IE的地址欄輸入“123.123.123.123:端口號”就可以訪問相應服務。當然,也可以指定外網地址123.123.123.123的80端口映射至內網192.168.1.10的80端口,這樣用瀏覽器訪問時就不用加端口號。
添加端口映射配置的步驟,各品牌的防火墻不太一樣,但大同小異。
比如,天融信沒有專門的端口映射配置,直接在NAT中配置即可。進入防火墻引擎-地址轉換-添加配置,源area選擇接外網的以太網口,源地址選any(有特殊需要的可以做源地址限制),源端口為空即可(即允許源端口為任何端口);目的area為空(空即任意),目的地址選擇外網地址123.123.123.123(需預先定義),服務選擇TCP8081(或TCP8082,服務也需要預先定義),下面目的地址轉換為192.168.1.10(192.168.1.11),目的端口轉換為80(HTTP),啟用規則即可。
網御直接有專門的端口映射配置,比較好理解,添加規則,選擇源地址(any,或自定),對外服務(8080或8081),源地址不轉換,公開地址選外網地址(123.123.123.123),內部地址選擇內網服務器地址(192.168.1.10或192.168.1.11),內部服務選80,啟用規則即可。
至此,我們實現了兩條端口映射規則:123.123.123.123:8080--192.168.1.10:80和123.123.123.123:8081--192.168.1.11:80。
同理,我們如果想讓p2p軟件在內網能正常工作的話,即讓外網用戶能連接p2p軟件的監聽端口,也需要作端口映射。比如,如果內網192.168.1.13運行Bitcomet監聽22345端口,顯示黃燈阻塞,我們作一條端口映射規則123.123.123.123:22345--192.168.1.13:22345,就可以變綠燈了,電驢也是一樣。
下面談談端口映射配合遠程桌面的應用。以前公司沒有VPN,為了能在家遠程辦公通過遠程桌面訪問我的機器192.168.1.15,于是通過端口映射作123.123.123.123:3389--192.168.1.15:3389來實現,這樣在家里運行Windows自帶的遠程桌面(其實遠程控制軟件很多,但為了能在緊急情況時隨便找一臺能上網的機器就能用,所以還是選用系統自帶的),輸入地址123.123.123.123就可以遠程登陸到我公司內網的機器。但3389端口只有一個,這樣就只能我自己用。后來發現,在遠程桌面中輸入IP地址加端口號也可以。這樣就好辦了,作123.123.123.123:9991--192.168.1.15,然后在家運行遠程桌面,輸入123.123.123.123:9991,就可以登陸我的機器;再作123.123.123.123:9992--192.168.1.16等等,就可以實現多人通過一個公網IP遠程桌面訪問自己的機器,沒有VPN遠程辦公也很方便。但要注意這樣有一定的危險性,因為家里一般用ADSL,IP地址不是固定的,所以作規則時源地址一般支能選any,即允許任何人連接9991端口,不過問題一般不大。
綜上,端口映射可以將內網的任何服務發布到外網地址的任何端口,非常方便,靈活運用的話對網管工作很有幫助。但切記,這種方法有一定的安全隱患,需慎用,最好在地址、端口、連接數、帶寬等各方面做好限制,以將危險減至最低。累死我了,下班了,回家吃飯。。。