在这里,先分享一下一个小小的技巧(也许称不上技巧),如果不是偶然的一次单击才知道这个技巧,就不会有本篇关于“端口映射”的话题了。
小技巧:
如下,在没有锁定这些条目之前,你随时可以拖运任何一个条目,系统默认是解锁状态,也就是说,你可以任意更改顺序,以达到所要求的目的。
如下,单击“#”号的地方,就切换成将条目锁定了,以防不小移动了NAT策略,而造成不必要的麻烦。锁定与解锁在表面看来是看不出任何区别的。所以,当我们做完所有策略后,建议将之锁定。
本人之所以先讲这个小技巧,是因为之前不小心单击了一下,就将策略条目锁定了,此后添加的策略却不能生效,因为在这里,策略的优先级是依据序号从小到大依次执行的,而所要映射的端口也受此影响!假若上一条策略占用了0-3388端口,那么,当你在锁定状态下新增一80端口时(我这里是发布OA系统),因为此80端口被上一条策略占用(0-3888),那么,此策略就不能生效,内部的WEB站点也就无法发布。此时,要么更改WEB站点的端口(如8080),要么使用映射到另一IP上(我这里选的是这种,因为我们这里有两公网IP)。
当然,如果此80虽在此范围(0-3388),但若此服务器并没有使用80端口的话,可以将80端口的条目放在它的前面(也就是较之较小的序列编号),也会成功发布WEB的80端口。
如果你注意到了这些细节,端口映射就不是什么大问题了。
在上面的篇节中,谈到地址伪装,使用的是动作Aaction=masquarade,因为我们这里用的是固定IP,而且有两个,所以,就采用以下IP分流的方式,因为这样的话,内部主机所映射的外部IP就不会随时变动,这可能会不利于内部服务器的服务发布(端口映射)。
从上图大概可以看得出来,几个条目的端口映射其实一样,只是端口不同而已,现在就来简单讲讲一下映射WEB端口。
IP/Firewall/NAT,单击创建按钮 ,弹出如下对话框,Dst. Address(目的地址)填写外网IP,
Action=dst-nat,如下所示,To Addresses填写内网中要发布的服务器IP,To Ports为WEB端口80,
为了方便管理,可以对所做的每一条策略做个说明,如上所示,单击“Comment”,弹出如下文本框,输入注释信息,如下所示,
完成注释后,“OK”关闭文本框,单击应用“Apply”,“OK”按钮,完成80端口的映射。
打开网址后,就可以看到效果了,如下所示:
端口映射就到此为此。
[附] NAT(端口地址转换)
如下所示,链chain=srcnat,源地址Src. Address=内网网段,连接标记Connection Mark=1(因为有两个公网IP地址)
Action=src-nat,目标地址To Addresses为公网地址,如下所示,目标端口To Portss=0-65535(或者不填也可)
应用并确定即可。
这里牵涉到IP分流的问题。注意,对于两个IP,如果连接标记Connection Mark不填写或其中一个不填写,则系统默认以最小序号或填写了连接标记的策略条目来转发,另外一个则不起作用,此时也就相当于masquarade,此时是起不到IP分流的目的,而如果做了分流标记,网速还会减慢一半。
评论