端口转发允许外部设备或服务通过将来自公网 IP 的流量转发到特定的内部 IP 和端口,从而访问您 UniFi 网络内的指定资源(如 Web 服务器、安全摄像头或游戏主机)。
如需高度自定义的 NAT 配置,请参见此处。
如需了解 UniFi 流量和策略管理 能力的完整概述,请参见此处。
如需了解 UniFi 网络与网络安全 能力的完整概述,请参见此处。
配置端口转发
- 导航到基于策略的路由规则:请根据您的 UniFi Network 版本选择路径:
- Network 9.4:设置 > 策略引擎 > 端口转发
- Network 9.3:设置 > 策略表 > 创建新策略 > 端口转发
- 创建名称:为该规则指定一个名称。
- 选择 WAN 接口:您可以选择仅使用其中一个,或所有 WAN。
- 指定入站流量
- IP 地址和端口:应与入站流量相关的 IP 地址和端口对应。
- 来源:可以选择所有入站流量,或指定来源 IP 地址的入站流量。
- 转发 IP 地址和端口:应对应于您希望转发流量的目标设备。
- 指定协议:在 TCP、UDP 或“两者”中进行选择。
- **(可选)**启用 Syslog,将日志发送到外部 SIEM 或日志收集器。
故障排查
造成端口转发规则无法如预期工作的常见原因有以下几种。
您的 UniFi 网关没有公网 IP 地址(双重 NAT 或 CGNAT)。
如果您的 UniFi 网关位于另一个使用 NAT 的路由器/调制解调器之后,就会出现这种情况。如果您的 UniFi 网关的 WAN IP 地址属于以下任意网段,则极可能受此影响:
- 10.0.0.0/8(10.0.0.0 - 10.255.255.255)
- 172.16.0.0/12(172.16.0.0 - 172.31.255.255)
- 192.168.0.0/16(192.168.0.0 - 192.168.255.255)
- 100.64.0.0/10(100.64.0.0 - 100.127.255.255)
要解决此问题,请尝试将您的 ISP 调制解调器/路由器配置为 桥接 模式,让 UniFi 网关的 WAN 接口可获取公网 IP。
如果不支持桥接,您需要在上游路由器/调制解调器上,先将需转发的端口转发到 UniFi 网关的 WAN 地址,同时再从 UniFi 网关转发到目标地址。您也可以联系 ISP 协助设置端口转发或开启 DMZ 功能,以自动转发相关端口。
注意:当处于 NAT 后面,并在上游路由器/调制解调器上进行端口转发时,从内网客户端(LAN)访问上游路由器/调制解调器的公网 IP(即 Hairpin NAT)将不会奏效。
您的 UniFi 网关已经将该端口转发给其他设备,或启用了 UPnP。
同一个 WAN 端口只允许转发到网络内的单一设备。例如,TCP 端口 443 只能转发到一个 LAN 端口。
注意:可以将多个 WAN 端口转发到同一个 LAN 端口。
另一个可能原因是启用了 UPnP,并且端口已被占用。请尝试在 UniFi 网络应用的 Internet 设置中关闭 UPnP。
入站流量未到达 UniFi 网关的 WAN 接口。
在这种情况下,流量很可能在上游环节(如 ISP 调制解调器/路由器或第三方防火墙)被阻止。建议您为测试目的临时关闭所有上游防火墙,然后联系 ISP 了解详情。
LAN 主机会被本地防火墙阻止端口,或没有正确路由设置。
此时,内网主机/服务器不允许外部连接访问该端口。在 Windows 电脑上,可能由于 Windows 防火墙 规则造成;在 Linux 设备上,则可能是 iptables 防火墙未放行该连接。建议咨询具体客户端的厂商以获取协助。
LAN 主机上的路由设置不正确。
如果 LAN 主机不知道如何到达 Internet 客户端的 IP 地址,也会导致无法通信。这通常是未正确设置默认网关导致。请在本地主机核查路由设置以解决该问题。
