转自
http://kppx.blog.hexun.com/14523639_d.html好几天没更新了,最近在玩仙剑4,就等今天晚上打完最后6个BOSS就终局了。绫纱最后不知会怎么样,念咒念咒念咒。。。
进入正题,今天说说硬件防火墙的端口映射配置,以及端口映射的应用。所谓端口映射,就是把“某个IP地址的某个端口(也叫套接字)映射到另一个IP地址的某个端口”,其实和NAT一样,本来都是路由器的专利。但出于加强安全性的考虑,一般现在在内网出口布置的都是硬件防火墙,路由器的大部分功能也能实现。当然了,现在的新趋势是IPS。。。
时下IPv4地址短缺,一个单位有一两个固定IP就算不错了,要实现内部网多台主机上公网,不用说需要作NAT,把内部私有IP转换成公网IP就搞定了。但如果需要对外发布一个以上的网站或其他服务,或是没有VPN但需要作多台主机(服务器)远程控制,一两个IP怎么说也是不够的,这种时候就需要用到端口映射了(莫急,这就开始说了)。
一般来讲,防火墙的默认包过滤规则是禁止,如果不做端口映射,外网地址的所有端口都是关闭(隐藏,检测不到)的,不允许从外网主动发起的任何连接(这就是在内网使用某些P2P软件显示“您的外网端口无法被连接”之类信息的原因)。下面结合实际讲讲配置。俺公司两台防火墙,一台天融信一台联想网御,联想网御作外网应用。比如,现有如下需求:
外网IP地址123.123.123.123,需要将内部网192.168.1.10和192.168.1.11两台服务器上的HTTP服务对外发布。
外网地址只有1个,外网地址的80端口也只有1个,既然要发布两个HTTP,也就不必(也没办法)拘泥于80端口。我们可以随便选择外网的端口号,比如,指定外网地址123.123.123.123的8080端口映射至内网192.168.1.10的80端口,指定外网地址123.123.123.123的8081端口映射至内网192.168.1.11的80端口。这里,如果没有特殊要求,外网端口的选择是任意的,外网用户只要在IE的地址栏输入“123.123.123.123:端口号”就可以访问相应服务。当然,也可以指定外网地址123.123.123.123的80端口映射至内网192.168.1.10的80端口,这样用浏览器访问时就不用加端口号。
添加端口映射配置的步骤,各品牌的防火墙不太一样,但大同小异。
比如,天融信没有专门的端口映射配置,直接在NAT中配置即可。进入防火墙引擎-地址转换-添加配置,源area选择接外网的以太网口,源地址选any(有特殊需要的可以做源地址限制),源端口为空即可(即允许源端口为任何端口);目的area为空(空即任意),目的地址选择外网地址123.123.123.123(需预先定义),服务选择TCP8081(或TCP8082,服务也需要预先定义),下面目的地址转换为192.168.1.10(192.168.1.11),目的端口转换为80(HTTP),启用规则即可。
网御直接有专门的端口映射配置,比较好理解,添加规则,选择源地址(any,或自定),对外服务(8080或8081),源地址不转换,公开地址选外网地址(123.123.123.123),内部地址选择内网服务器地址(192.168.1.10或192.168.1.11),内部服务选80,启用规则即可。
至此,我们实现了两条端口映射规则:123.123.123.123:8080--192.168.1.10:80和123.123.123.123:8081--192.168.1.11:80。
同理,我们如果想让p2p软件在内网能正常工作的话,即让外网用户能连接p2p软件的监听端口,也需要作端口映射。比如,如果内网192.168.1.13运行Bitcomet监听22345端口,显示黄灯阻塞,我们作一条端口映射规则123.123.123.123:22345--192.168.1.13:22345,就可以变绿灯了,电驴也是一样。
下面谈谈端口映射配合远程桌面的应用。以前公司没有VPN,为了能在家远程办公通过远程桌面访问我的机器192.168.1.15,于是通过端口映射作123.123.123.123:3389--192.168.1.15:3389来实现,这样在家里运行Windows自带的远程桌面(其实远程控制软件很多,但为了能在紧急情况时随便找一台能上网的机器就能用,所以还是选用系统自带的),输入地址123.123.123.123就可以远程登陆到我公司内网的机器。但3389端口只有一个,这样就只能我自己用。后来发现,在远程桌面中输入IP地址加端口号也可以。这样就好办了,作123.123.123.123:9991--192.168.1.15,然后在家运行远程桌面,输入123.123.123.123:9991,就可以登陆我的机器;再作123.123.123.123:9992--192.168.1.16等等,就可以实现多人通过一个公网IP远程桌面访问自己的机器,没有VPN远程办公也很方便。但要注意这样有一定的危险性,因为家里一般用ADSL,IP地址不是固定的,所以作规则时源地址一般支能选any,即允许任何人连接9991端口,不过问题一般不大。
综上,端口映射可以将内网的任何服务发布到外网地址的任何端口,非常方便,灵活运用的话对网管工作很有帮助。但切记,这种方法有一定的安全隐患,需慎用,最好在地址、端口、连接数、带宽等各方面做好限制,以将危险减至最低。累死我了,下班了,回家吃饭。。。