在多年的IT运维生涯中,端口映射是每次调试路由器和防火墙都必备的配置,算是比较简单的工作内容了。
但是,直到现在,还是经常碰到端口映射失败来求助的,今天就带大家来看两个经典的案例。
案例一、华为防火墙,端口映射故障
客户反应,防火墙上明明已经配置好了,而且检测通过,但是实际上任何端口都没有真正映射成功,外部用户根本无法连接内部服务器上的相关服务。
好家伙,一个页面都没放得下,这么多端口,就没一个映射出去的,也是没谁了。
仔细看了一下配置,除了有个勾选项一定要帮他去除以外,其他的配置都是正确的,并没有错误的地方。
“允许服务器使用公网地址上网”为什么千万不能勾选?因为此处优先级非常高,他会搞乱你本身规划好的出路径,我踩过的坑,各位就不要再踩一遍了。
但是,即使此处勾选上了,也不会影响端口映射本身,所以说,端口映射的失败,并非端口映射本身的配置错误,而是另有原因。
不卖关子了,防火墙不同于路由器,做完端口映射之后,还必须配置相应的安全策略放行才行。
在华为防火墙新版本的软件系统中,每次配完端口映射,系统会提醒你,是否自动生成相应 的安全,如果你选是,基本上略有作修改,相应的安全策略立刻就能生效了。而老版本的防火墙,并不会有此提示,所以还得咱们自己配置。
仔细看了一遍客户需要映射的端口,别看一个页面都放不下,其实也就三四台服务器的端口要做映射,这样的话,显然不用每个端口映射都去新建一条安全策略了,不单是做起来累,还加重了防火墙系统的负担。
所以,此处应该是用一条安全策略来对应一台服务器所有的端口映射。
多个端口,也就是多个服务,所以在新建安全策略的时候,需要在“服务”那一项里面“新建自定义服务”;注意,源端口一般不能指定,因为我们的电脑在发起服务访问的时候,一般都是任意端口发起的,然后目的端口是固定的,哪个服务就对应哪个端口;
因为是一条安全策略对应一台服务器的多个端口,所以此处将添加这台服务器上所有需要映射出去的端口,注意区别TCP和UDP类型,搞错了是不可能成功的。
配置完成后,注意把安全策略的位置调整到合理的地方,只能放在冲突策略的上面,不然是不可能被执行到的。
案例二、爱快路由器,远程桌面端口无法映射
其他服务端口都正常映射出去了,只有远程桌面的端口(3389)无法映射成功,虽然我非常不建议把3389直接映射出去,但是真遇到问题,还是得帮客户分析一下的。
当我远程登录爱快路由器、打开“端口映射”的时候,我似乎发现了新大陆,原来端口映射还可以这样配置?
难怪映射不出去啊,4台服务器挤在一个3389端口,出得去才是奇怪的事情。
内部端口不用动,把外部端口改成4个不一样的,问题马上就解决了,但是为了安全起见,还是帮客户限定了有权远程桌面的外部IP,因为平时是通过部署在互联网上的堡垒机来远程维护服务器,所以可以、也应该限定登录IP。
但是如果没有堡垒机,你又想在任意地点以远程桌面的方式登录服务器,那就没办法了,不能限定IP,就没那么安全了,建议使用第三方的远程控制软件,比如说向日葵、ToDesk等等。