在多年的IT運維生涯中,埠映射是每次調試路由器和防火牆都必備的配置,算是比較簡單的工作內容了。
但是,直到現在,還是經常碰到埠映射失敗來求助的,今天就帶大家來看兩個經典的案例。
案例一、華為防火牆,埠映射故障
客戶反應,防火牆上明明已經配置好了,而且檢測通過,但是實際上任何埠都沒有真正映射成功,外部用戶根本無法連接內部伺服器上的相關服務。
好傢夥,一個頁面都沒放得下,這麼多埠,就沒一個映射出去的,也是沒誰了。
仔細看了一下配置,除了有個勾選項一定要幫他去除以外,其他的配置都是正確的,並沒有錯誤的地方。
「允許伺服器使用公網地址上網」為什麼千萬不能勾選?因為此處優先級非常高,他會搞亂你本身規劃好的出路徑,我踩過的坑,各位就不要再踩一遍了。
但是,即使此處勾選上了,也不會影響埠映射本身,所以說,埠映射的失敗,並非埠映射本身的配置錯誤,而是另有原因。
不賣關子了,防火牆不同於路由器,做完埠映射之後,還必須配置相應的安全策略放行才行。
在華為防火牆新版本的軟體系統中,每次配完埠映射,系統會提醒你,是否自動生成相應 的安全,如果你選是,基本上略有作修改,相應的安全策略立刻就能生效了。而老版本的防火牆,並不會有此提示,所以還得咱們自己配置。
仔細看了一遍客戶需要映射的埠,別看一個頁面都放不下,其實也就三四台伺服器的埠要做映射,這樣的話,顯然不用每個埠映射都去新建一條安全策略了,不單是做起來累,還加重了防火牆系統的負擔。
所以,此處應該是用一條安全策略來對應一台伺服器所有的埠映射。
多個埠,也就是多個服務,所以在新建安全策略的時候,需要在「服務」那一項裡面「新建自定義服務」;注意,源埠一般不能指定,因為我們的電腦在發起服務訪問的時候,一般都是任意埠發起的,然後目的埠是固定的,哪個服務就對應哪個埠;
因為是一條安全策略對應一台伺服器的多個埠,所以此處將添加這台伺服器上所有需要映射出去的埠,注意區別TCP和UDP類型,搞錯了是不可能成功的。
配置完成後,注意把安全策略的位置調整到合理的地方,只能放在衝突策略的上面,不然是不可能被執行到的。
案例二、愛快路由器,遠程桌面埠無法映射
其他服務埠都正常映射出去了,只有遠程桌面的埠(3389)無法映射成功,雖然我非常不建議把3389直接映射出去,但是真遇到問題,還是得幫客戶分析一下的。
當我遠程登錄愛快路由器、打開「埠映射」的時候,我似乎發現了新大陸,原來埠映射還可以這樣配置?
難怪映射不出去啊,4台伺服器擠在一個3389埠,出得去才是奇怪的事情。
內部埠不用動,把外部埠改成4個不一樣的,問題馬上就解決了,但是為了安全起見,還是幫客戶限定了有權遠程桌面的外部IP,因為平時是通過部署在網際網路上的堡壘機來遠程維護伺服器,所以可以、也應該限定登錄IP。
但是如果沒有堡壘機,你又想在任意地點以遠程桌面的方式登錄伺服器,那就沒辦法了,不能限定IP,就沒那麼安全了,建議使用第三方的遠程控制軟體,比如說向日葵、ToDesk等等。