概述

读者将学习如何使用目标 NAT 将 UDP 和 TCP 端口转发到内部服务器。

注意事项和需求:

适用于所有 EdgeRouter 型号的最新 EdgeOS 固件。 有关更多信息,请参阅下面的相关文章。

本文中使用的设备和产品:

  • EdgeRouter-4(ER-4)
  • Ubiquiti 网络管理系统(UISP)

目录

  1. 常见问题
  2. 添加 DNAT 规则
  3. 相关文章

常见问题

回到顶部

1.DNAT 和端口转发有什么区别?

DNAT 和端口转发具有相同的用途,可以用于将端口转发到 NAT 后面的内部主机。

2.我是否需要为 DNAT 规则手动添加防火墙条目?

是的,请参阅以下步骤

3.我是否需要手动配置 Hairpin NAT?

是的,请参阅端口回流

  1. 我可以配置源 NAT 吗?

是的,请参阅文章

添加 DNAT 规则

回到顶部

topology.png

来自外部客户端的 TCP 端口 443 和 10443 的 HTTPS 流量将转发到 UISP 服务器。

按照以下步骤将 DNAT 和防火墙规则添加到 EdgeRouter:

GUI: 接入到 EdgeRouter 的 Web UI 界面

1.为 TCP 端口 443 添加 DNAT 规则,引用主 WAN IP 地址。

防火墙/NAT> NAT> +添加 DNAT 规则

Description: https443
Inbound Interface: eth0
Translation Address: 192.168.1.10 
Translation Port: 443
Protocol: TCP
Destination Address: 203.0.113.1
Destination Port: 443

2.为 TCP 端口 10443 添加 DNAT 规则,引用第二 WAN IP 地址。

防火墙/ NAT> NAT> +添加目标 NAT 规则

Description: https10443
Inbound Interface: eth0
Translation Address: 192.168.1.10
Translation Port: 443
Protocol: TCP
Destination Address: 203.0.113.2
Destination Port: 10443

3.在防火墙中放行 https 的流量。

防火墙/ NAT>防火墙策略> WAN_IN>操作>编辑规则集>添加新规则

Description: https
Action: Accept
Protocol: TCP
Destination > Port: 443
Destination > Address: 192.168.1.10
注意事项:在应用防火墙策略之前,请参阅 NAT 规则。 这就是为什么上面的防火墙规则匹配翻译后的端口和地址的原因。

有关详细信息,请参阅数据包处理

也可以使用 CLI 设置上述配置:

CLI: 访问命令行界面。 您可以使用 GUI 中的 CLI 按钮或使用 PuTTY 等程序执行此操作。 
configure

set firewall name WAN_IN rule 21 action accept
set firewall name WAN_IN rule 21 description https
set firewall name WAN_IN rule 21 destination port 443
set firewall name WAN_IN rule 21 destination address 192.168.1.10
set firewall name WAN_IN rule 21 log disable
set firewall name WAN_IN rule 21 protocol tcp

set service nat rule 1 description https443
set service nat rule 1 destination address 203.0.113.1
set service nat rule 1 destination port 443
set service nat rule 1 inbound-interface eth0
set service nat rule 1 inside-address address 192.168.1.10
set service nat rule 1 inside-address port 443
set service nat rule 1 log disable
set service nat rule 1 protocol tcp
set service nat rule 1 type destination

set service nat rule 2 description https10443
set service nat rule 2 destination address 203.0.113.2
set service nat rule 2 destination port 10443
set service nat rule 2 inbound-interface eth0
set service nat rule 2 inside-address address 192.168.1.10
set service nat rule 2 inside-address port 443
set service nat rule 2 log disable
set service nat rule 2 protocol tcp
set service nat rule 2 type destination

commit ; save

相关文章

回到顶部

EdgeRouter - 端口转发

EdgeRouter - 端口回流

EdgeRouter - 数据包处理

网络简介 - 如何使用 SSH 建立连接