端口映射

   免费的内网穿透,内网端口映射工具,无需设置路由器,公网IP,不限流量,不限连接数
了解更多  立即下载
FinalShell最好用的国产SSH客户端,一体化服务器管理软件,点击获取

应用场景

客户在内网部署了一台服务器,开放了http或者其他服务,由于服务器的地址属于私有地址,外网用户无法直接访问该地址,也无法访问服务器提供的服务,此时可以开启端口映射功能,实现外网用户访问内网服务器的需求。

比如服务器的地址为192.168.1.20,开放http访问,由于服务器地址属于一个私有地址,外网用户无法直接访问服务器提供的http服务,此时可以在出口EG上,将服务器地址以及服务端口映射到公网地址上,即可访问服务器提供的http服务。

一、组网需求

1、外网线路是单根固定光纤电信线路10M。电信提供的地址:192.168.33.56 子网掩码 255.255.255.0,外网网关:192.168.33.1,DNS:218.85.157.99。

2、内网有一台远程桌面服务器,在外网也能够访问的到内网的服务器—需要做映射到公网上,服务器IP地址为 192.168.1.150。

二、网络拓扑

 

三、配置要点

1、首先保证内网电脑可以正常访问到这台服务器。

2、这台服务器IP地址,网关都有配置并且可以正常上网。

3、确定好这台服务器需要对外映射多少个端口,是UDP还是TCP协议。

4、如果客户的真实环境是有多个外网出口(如上图拓扑2),如电信+网通,或者电信+电信,内网服务器需要做双线路端口映射,使不同运营商的外网用户能分部通过各自的外网线路IP地址访问到服务器,此时建议开启外网接口的“源进源出”功能。

四、配置步骤

1、确认只需要把服务器的TCP 3389端口映射出去就可以。

网络配置—nat配置—端口映射

a 映射关系:选择为端口映射 表示要把内网服务器的某个端口映射出去

b 内网ip:指服务器的ip地址

c 内网端口:指服务器对外提供的服务端口

d 外网ip:指外网口的ip地址 (接口地址:在外网线路属于动态环境下使用)

e 外网端口:指映射到外网的服务端口

f 协议类型:根据服务器提供服务的协议类型选择

注:EG_RGOS 11.1(6)B9版本开始支持批量添加连续端口,如下:

2、命令行生成的命令:

ip nat inside source static tcp 192.168.1.150 3389 192.168.33.56 3389 permit-inside

3、如果客户是多出口的网络环境,此时建议开启外网接口的“源进源出”功能。

在接口配置—点击外网口

生成的命令如下:

interface GigabitEthernet 0/1

ip nat outside

ip address 192.168.33.57 255.255.255.0

reverse-path—–源进源出

nexthop 192.168.33.1

五、配置验证

1.从开始程序打开远程桌面连接—输入外网口的ip地址

点击是,出现登陆服务器界面

 

 

六、注意问题

1、EG默认开启了DNS ALG功能,目的是使内网用户使用域名访问内网的服务器直接走内网不经过EG设备,实现更快访问;DNS ALG的具体实现原理如下:

ip nat inside source static tcp 172.16.1.10 80 202.101.1.10 80

ip nat inside source static tcp 172.16.1.11 8080 202.101.1.10 8080

如以上两条端口映射配置,DNS ALG的功能就是把域名解析出的来公网地址根据端口映射把公网IP改成私网IP,方便用户直接使用私网IP访问到内网的服务器,由于DNS解析是不带端口的,如果内网用户是需要访问172.16.1.10这台服务器,使用域名解析后得到公网IP为202.101.1.10,那么设备就会DNS的报文更改,把202.101.1.10换成172.16.1.10此时访问没有问题。但是如果用户是想访问172.16.1.11这台服务器,那就不行了,因为域名解析出来的IP地址还是202.101.1.10,还是会把公网IP根据第一条映射更改成172.16.1.10,导致用户访问不成功;当存在多个公网IP映射到不同私网IP时就会出现在内网无法使用域名访问内网服务器的情况(内网有DNS服务器直接解析内网服务器的域名例外);

所以遇到内网无法使用域名访问内网服务器时,如果属于上以介绍的情况就需要关闭DNS ALG功能,关闭命令为:no ip nat translation dns

2、从EG_RGOS 11.1(6)B9版本开始支持批量添加连续端口,如下:

3、EG默认开启了SIP ALG功能,SIP协议首包对应的目的端口为TCP或者UDP为5060端口。若首包非此端口报文,则不属于SIP ALG。

分享到: 更多 (0)