更新时间:2022-01-18
端口映射用于对经过设备的数据做DNAT目标地址转换,常见应用包括发布服务器,将内网服务器的服务映射到公网,提供Internet用户进行访问,端口映射只能用于设备路由模式部署的情况下,界面如下图。
需求背景
内网一台服务器192.168.1.2,提供HTTP服务,用户要求公网用户可以访问到这台服务器的HTTP服务,设备上有两条公网线路,用户要求通过访问两条公网线路都可以访问到内网的这台服务器。
-
在[端口映射]页面点击<新增>,选择新增[简单规则]或[高级规则]。
简单规则:用于简单设置一条端口映射规则,仅设置端口映射的必要条件即可。
高级规则:条件更为复杂,一般用于比较复杂的需求。
2.选择[简单规则],勾选启用DNAT规则并设置规则名称。
3.[协议转换条件]用于设置匹配此条转换规则的数据条件,并且设置转换的目标地址和目标端口。
协议类型:选择需要做端口映射的数据的协议类型在;目标端口:设置组要做端口映射的数据目标端口,此例中是对访问HTTP服务的数据做NAT,则设置协议类型:“TCP”,目标端口:“80”。设置完条件后,设置映射到IP[映射到端口;映射到IP:用于设置数据的目标地址转换成的地址,映射到端口:用于设置数据的目标端口转换成的端口,此例中需要将访问80服务的数据目标地址转换成192.168.1.2。
4.勾选[防火墙自动放行数据]用于在[过滤规则]中自动放通规则,注意勾选此项,则会放通LAN<->WAN、DMZ<->WAN、LAN<->DMZ六个方向的TCP80端口的数据。
如果需要修改已设置的端口映射规则。点击对应的规则名称,在弹出的编辑框中即可进行编辑。勾选需要修改的规则,可以点击<删除>来删除掉该策略。点击启用可以把规则状态改为启用。点击<禁用>则把规则状态改为禁用。点击<上移>或者<下移>,则可以把规则的序号进行调整。规则匹配的优先级:序号靠前的规则会先被匹配到。
需求背景
用户内网有一台服务器:192.168.1.80,设备路由模式部署,WAN1口使用光纤接入,有公网IP地址202.96.137.89,该公网IP地址对应一个域名:www.sangfor.com,现要求做一条DNAT端口映射规则把服务器发布至公网,并且要求在局域网(192.168.1.0/255.255.255.0,连接在LAN口)内的用户,也可以通过访问www.sangfor.com访问到192.168.1.80。
-
在[端口映射]页面点击<新增>,选择新增[高级规则],再弹出的[端口映射]配置界面,进行相应的配置:勾选启用DNAT规则,设置规则名称。
2.外网接口是指定外网接口条件,指定从哪个接口进入设备的数据才进行DNAT。此例中域名对应的公网地址是WAN1口的地址,所以选择指定网口为“WAN1”。
3.源IP地址转换条件,用于设置DNAT转换的源地址条件,此例中因为是映射给公网,且没有指定的网段,则此处选择所有IP地址。
4.设置目标IP地址转换条件,用于设置DNAT转换的目标地址条件,此例中对访问到WAN1口的IP地址的数据进行转换,则选择[指定网络接口地址],选择“WAN1”。
5.设置协议转换条件,用于设置DNAT转换的协议及端口条件,此例中是针对访问的80端口数据进行DNAT,所以此处设置如下:源端口一般是随机端口,此处选择所有端口。
-
设置映射到IP地址,用于设置匹配以上几步条件的数据,目标地址转换成哪个IP地址。此例中访问的目的服务器是192.168.1.80,则此处设置[指定IP地址]:192.168.1.80。
-
设置映射到端口,用于设置匹配以上几步条件的数据。此例中是访问目的服务器192.168.1.80的80端口,则此处设置指定端口或范围:80。
-
勾选防火墙自动放行数据,用于在过滤规则中自动放通规则,注意勾选此项,则会放通LAN<->WAN、DMZ<->WAN、LAN<->DMZ六个方向的TCP80端口的数据。
-
发布服务器是内网用户需要通过公网IP访问到同一个网段的服务器时需要勾选,目的是将内网访问的数据源地址转换成设备相应接口的地址,避免内网用户通过公网IP访问服务器是连接无法建立成功,勾选此项设备会自动创建一条SNAT规则,进行源地址转换,此例中是LAN区的内网用户通过公网IP访问LAN区的服务器,所以此处选择[访问内网服务器时转换的源IP为]:192.168.1.12(LAN)。