UniFi 网关通过实现 网络地址转换(NAT) 将您的本地网络与互联网隔离,同时允许互联网与您的客户端之间的双向通信。UniFi 网关还支持高级 NAT 配置技术:SNAT、DNAT 和伪装。

关于标准 端口转发 配置,请参见此处

关于 UniFi 流量与策略管理 能力的完整概述,请参见此处

关于 UniFi 网络与网络安全 能力的完整概述,请参见此处

  1. 源 NAT(SNAT)
    SNAT 用于修改出站数据包的源 IP。这允许出站流量采用您 IP 地址块中的特定 WAN IP。
    • SNAT 确保来自指定内网客户端的所有流量都显示为源自 WAN IP 块中的指定 IP。
    • 在多 IP WAN 配置下,当不同的出站连接需要特定的公网 IP 时,这非常有用。
    • 这为路由和出站身份管理提供了灵活性。

    在 UniFi 中添加 SNAT 规则的方法:

    1. 进入 NAT 规则:路径根据您的 UniFi Network 版本有所不同:
      • Network 9.4:设置 > 策略表 > 新建策略 > NAT
      • Network 9.3:设置 > 策略引擎 > NAT > 新建
    2. 选择 Src. NAT。
    3. 选择接口:流量在离开该接口时会被转换。
    4. 指定转换信息 IP 地址和端口:
      • 转换后的 IP 地址:流量将显示为来自该指定 IP 地址。
      • (可选)转换后的端口:流量将显示为来自该指定端口。
    5. 指定协议:只有指定协议的流量才会被转换。
    6. 指定源和目标:符合所有条件的流量将按照第(4)步的设置进行转换。可调参数包括:
      • Any(任意)
      • 网络
      • IP 和端口
      • 对象
    7. 点击 添加
  1. 目的 NAT(DNAT)
    DNAT 用于修改入站流量的目标 IP。这允许发往您 WAN IP 块中某个 IP 的流量被转发到您网络中的特定客户端。
    • DNAT 常用于暴露内网服务,例如将 WAN 块内的公网 IP 映射到本地服务器。
    • 该技术适用于托管 Web 服务器、远程访问应用程序或其他需公网访问的服务。
    • 通过更改目标 IP,流量可无缝定向到相应的内部主机,无需将内部地址直接暴露在公网。

    在 UniFi 中添加 DNAT 规则的方法:

    1. 进入 NAT 规则:路径根据您的 UniFi Network 版本有所不同:
      • Network 9.4:设置 > 策略表 > 新建策略 > NAT
      • Network 9.3:设置 > 策略引擎 > NAT > 新建
    2. 选择 Dest. NAT。
    3. 选择接口:通过该接口进入的流量将被转换。
    4. 指定转换信息 IP 地址和端口:
      • 转换后的 IP 地址:匹配到的流量将被转换并定向到该指定 IP 地址。
      • (可选)转换后的端口:匹配到的流量将被转换为该指定端口。
    5. 指定协议:只有指定协议的流量才会被转换。
    6. 指定源和目标:符合所有条件的流量将按照第(4)步的设置进行转换。可调参数包括:
      • Any(任意)
      • 网络
      • IP 和端口
      • 对象
    7. 点击 添加
  1. 伪装 NAT

    伪装 NAT(又称多对一 NAT、PAT 或 NAT Overload)是 UniFi NAT 的默认行为。它是一种 源 NAT(SNAT),会根据 出接口当前的 IP 地址动态调整,非常适合公网 IP 可能频繁变更的连接场景。

    在 UniFi 中添加伪装 NAT 规则的方法:

    1. 进入 NAT 规则:路径根据您的 UniFi Network 版本有所不同:
      • Network 9.4:设置 > 策略表 > 新建策略 > NAT
      • Network 9.3:设置 > 策略引擎 > NAT > 新建
    2. 选择 Masquerade。
    3. 选择接口:流量在离开该接口时会被转换。
    4. (可选)指定转换后的端口:流量将显示为来自该指定端口。
    5. 指定协议:只有指定协议的流量才会被转换。
    6. 指定源和目标:符合所有条件的流量将按照第(4)步的设置进行转换。可调参数包括:
      • Any(任意)
      • 网络
      • IP 和端口
      • 对象
    7. 点击 添加
  1. 禁用 NAT

    禁用 NAT 通常只用于那些不需要地址转换的高级网络。常见使用场景包括将 UniFi 网关作为大型企业或校园网络中的内部路由器(依赖上游的 NAT),或部署如 VoIP 或 VPN 服务器等需要直接 IP 路由的服务。在这些场景中,设备通常会在其网络接口上直接分配公网 IP 或静态路由的私有 IP,NAT 由上游处理或根本不需要 NAT。

    禁用 NAT 的方法:

    1. 进入 UniFi 设备
    2. 选择您的 网关
    3. 前往 设置 > 全局 NAT 设置。
    4. 选择理想的配置:
      • Auto – 对所有网络启用 NAT(默认)。
      • Custom – 手动选择要从 NAT 中排除的特定网络。
      • Off – 完全禁用 NAT。

注意:与使用 DNAT(端口转发)经由公网 IP 暴露服务相比,直接为设备分配公网 IP 并禁用 NAT,需要您的上游路由器知道如何到达该 IP,通常通过静态路由,或在更大规模或多站点部署中通过 BGP 实现。