在多年的IT運維生涯中,端口映射是每次調試路由器和防火墻都必備的配置,算是比較簡單的工作內容了。
但是,直到現在,還是經常碰到端口映射失敗來求助的,今天就帶大家來看兩個經典的案例。
案例一、華為防火墻,端口映射故障
客戶反應,防火墻上明明已經配置好了,而且檢測通過,但是實際上任何端口都沒有真正映射成功,外部用戶根本無法連接內部服務器上的相關服務。
好家伙,一個頁面都沒放得下,這么多端口,就沒一個映射出去的,也是沒誰了。
仔細看了一下配置,除了有個勾選項一定要幫他去除以外,其他的配置都是正確的,并沒有錯誤的地方。
“允許服務器使用公網地址上網”為什么千萬不能勾選?因為此處優先級非常高,他會搞亂你本身規劃好的出路徑,我踩過的坑,各位就不要再踩一遍了。
但是,即使此處勾選上了,也不會影響端口映射本身,所以說,端口映射的失敗,并非端口映射本身的配置錯誤,而是另有原因。
不賣關子了,防火墻不同于路由器,做完端口映射之后,還必須配置相應的安全策略放行才行。
在華為防火墻新版本的軟件系統中,每次配完端口映射,系統會提醒你,是否自動生成相應 的安全,如果你選是,基本上略有作修改,相應的安全策略立刻就能生效了。而老版本的防火墻,并不會有此提示,所以還得咱們自己配置。
仔細看了一遍客戶需要映射的端口,別看一個頁面都放不下,其實也就三四臺服務器的端口要做映射,這樣的話,顯然不用每個端口映射都去新建一條安全策略了,不單是做起來累,還加重了防火墻系統的負擔。
所以,此處應該是用一條安全策略來對應一臺服務器所有的端口映射。
多個端口,也就是多個服務,所以在新建安全策略的時候,需要在“服務”那一項里面“新建自定義服務”;注意,源端口一般不能指定,因為我們的電腦在發起服務訪問的時候,一般都是任意端口發起的,然后目的端口是固定的,哪個服務就對應哪個端口;
因為是一條安全策略對應一臺服務器的多個端口,所以此處將添加這臺服務器上所有需要映射出去的端口,注意區別TCP和UDP類型,搞錯了是不可能成功的。
配置完成后,注意把安全策略的位置調整到合理的地方,只能放在沖突策略的上面,不然是不可能被執行到的。
案例二、愛快路由器,遠程桌面端口無法映射
其他服務端口都正常映射出去了,只有遠程桌面的端口(3389)無法映射成功,雖然我非常不建議把3389直接映射出去,但是真遇到問題,還是得幫客戶分析一下的。
當我遠程登錄愛快路由器、打開“端口映射”的時候,我似乎發現了新大陸,原來端口映射還可以這樣配置?
難怪映射不出去啊,4臺服務器擠在一個3389端口,出得去才是奇怪的事情。
內部端口不用動,把外部端口改成4個不一樣的,問題馬上就解決了,但是為了安全起見,還是幫客戶限定了有權遠程桌面的外部IP,因為平時是通過部署在互聯網上的堡壘機來遠程維護服務器,所以可以、也應該限定登錄IP。
但是如果沒有堡壘機,你又想在任意地點以遠程桌面的方式登錄服務器,那就沒辦法了,不能限定IP,就沒那么安全了,建議使用第三方的遠程控制軟件,比如說向日葵、ToDesk等等。
