华为防火墙如何做公网IP对内网服务器的端口映射?

华为防火墙如何做公网IP对内网服务器的端口映射?,第1张

1、端口映射是华为防火墙中的一个常用功能,举个例子就是你内网有一台服务器,想让外网的访问者能够直接访问到这台服务器。但你的内网服务器配置的是内网地址在公网是找不到的,怎么办?这时既可以把一个公网IP地址映射到这个内网地址上,可以单独映射一个端口,也可以做全映射。今天主要说的就是服务器的端口映射。

2、端口映射在防火墙内属于一个策略。所以我们登录到防火墙后找到策略、NAT策略、服务器映射。

3、在服务器映射列表中,我们看到有一个新建选项。做端口映射需要新建一个映射策略。

4、名称随意填写,类型一般填写为“静态映射”,安全区域根据自己的网络结构进行配置。公网地址填写需要映射的公网地址,私网地址填写服务器的地址。允许端口转换如果为全映射不需要都选,如果为单独端口映射需要勾选。

5、当让图形界面看着比较容易 *** 作,如果想用命令配置界面的也可以。只需要输入natserver来画SSH2protocoltcpglobal公网IP2222inside私网IP22no-reverse

6、设置完之后,我们也可以做一个简单的验证,打开windows的cmd窗口。在里边输入Telnet+公网IP+端口看看是否连同。

简单说一下过程

这里着重讲一下用户映射的原理

  NFS服务虽然不具备用户身份验证的功能,但是NFS提供了一种身份映射的机制来对用户身份进行管理。当客户端访问NFS服务时,服务器会根据情况将客户端用户的身份映射成NFS匿名用户nfsnobody。nfsnobody是由NFS服务在系统中自动创建的一个程序用户账号,该账号不能用于登录系统,专门用作NFS服务的匿名用户账号。

  所谓用户身份映射,是指当客户端访问NFS服务器时,会自动被视作服务器中的nfsnobody用户,并按照该用户的权限设置去执行 *** 作。但是并非所有的客户端都会被映射为nfsnobody用户,在/etc/exports配置文件中提供了以下选项,以决定是否将NFS客户端映射为nfsnobody用户:

  一般情况下,系统中除了为nfs创建的nfsnobdy用户外,还有系统创建的nobody用户(供大多数服务使用)。这两个用户在服务端和客户端都有。
  我们将客户端访问nfs服务器端的用户映射简化分为两种情况,一种是用户被压缩,一种不被压缩。(这里讲的压缩,有点映射的意思)

  当客户端使用用户zhangsan(666)连接服务端时(比如创建文件),实际传递的是其uid,当服务端接收到这个uid时,两种情况:

①、用户不被压缩:如果服务器端有这个uid,则显示该uid对应的(登录)名称,否则直接显示该用户uid(但该用户uid并不存在,所以在当再次请求查看该文件信息时,服务器在给用户返回信息之前,会检测到该uid并不存在,所以传给客户端时变成nobody的uid,所以在客户端查看文件时,其实显示所属主是nobody,而在服务器端显示的却是zhangsan的uid,因为文件毕竟是存在服务器上的)。也就是说当用户不被压缩的情况下,要想服务端和客户端显示相同的zhangsan,则必须服务端和客户端要同时拥有相同的zhangsan用户,且uid也要相同。
②、用户被压缩:那么客户端访问服务端时,不管客户端是以哪个用户的身份,最后都被压缩成指定的anonuid用户(默认是nfsnobody,当然可以修改配置的)。因为nfsnobody用户在服务端和客户端都有,压缩成该用户就一致起来了。当然我们可以修改配置指定要压缩成的用户id,但是同样要在两端都建立相同的该用户,否则,就会出现情况①中的,一边显示用户uid,一边显示nobody的现象。
所以,在实际应用中,如果nfs服务器当做数据服务器使用(比如存放视频等)的话,为了方便使用,使各个客户端都能简单存取数据, 一般采用将用户压缩成指定用户的方式,并且在服务器上将共享目录的所属主和所属组都设置成该用户及其主组。

我们用adsl+路由共享上网时,路由器默认是允许内网机器主动访问外网,但拒绝外网机器主动访问内网机器的。
端口映射的作用就是能让外网机器主动访问到内网机器,这样就要在路由器上设置一个通道,让路由器把访问这个通道的信息转发到内网机器上去。
举个例子:A为外网机器,IP为101101101101,B为路由器外网IP为202202202202,内网IP为19216811,C为内网机器,IP为19216812,正常情况,C用1234端口主动与A机器4567端口通信时,会通知B代为连接C的4567,A会接受并建立连接。但是若A用1235想主动与C的4568连接时,只能与B的4568连接,但是B只是路由器不会接受,丢弃这个连接请求连接就不成功。
这时,我们在B上设置端口映射,将B的4568映射到C的4568上去,A再主动与B的4568连接时,B就知道这个连接是想连到C的4568上去,于是转发到C的4568上去,若C这时正有程序监听这个端口,就会接受并与A建立连接,AC开始通信。
由上可知:
1、是,为了让外网机器能访问内网机器
2、是,就是在路由器上监听一个端口,转发到一个内网机器的端口上
3、有关,端口映射的机器IP必须为固定IP,不然这个机器就接受不到这个请求了


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/12635167.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-27
下一篇 2023-05-27

发表评论

登录后才能评论

评论列表(0条)

保存