映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙
2016-12-06 11:46
856 查看
【简介】早期单位的对外访问服务器通常是托管在宽带运营商的中心机房,管理自由程度不高,现在大多数单位自建机房,服务器就在身边,可以方便的将服务器通过固定IP宽带映射到外网,允许从外网进行访问。
网络拓扑
固定IP宽带通常会给予多个IP地址,除了上网之外,多余的IP地址可以用来映射多台服务器到外网。
添加可用IP地址
固定IP宽带多余的IP地址必须在接口中设置后才能使用。
① 选择菜单【系统管理】-【网络】-【接口】,双击固定IP宽带接口,或点击接口选择 Edit。
② 【附加的IP地址】选项打钩,在下面小窗口加入其它的可用IP地址,访问方式和主IP一样,需要加上https和ping,这样这些IP地址也就可以Ping通或直接用来访问防火墙。
创建虚拟IP
虚拟IP即VIP,虚拟IP是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟IP的映射关系会影响到源地址转换,也就是防火墙会优先匹配虚拟IP的映射关系,再匹配防火墙策略中选择的源地址转换方式。
① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New。
② 输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口(不要选择默认的any,不然后面会出错),外部IP地址填写固定IP宽带的可用地址,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。
③ 如果不指定端口转发,默认所有的端口都一一映射,也可以选择端口转发,指定需要映射的端口,这里一次只能建立一个端口映射。但是外部端口可以和映射端口不一致,例如外部端口号为8088,映射端口为80,这样映射的服务器访问用 http://域名或IP地址:8088 这种方式。
【提示】如果一台服务器有多个端口需要映射,可以为每个映射端口建立一个虚拟IP,然后在策略中一次性全部指定。也可以在虚拟IP中不选择端口转发,默认映射全部端口,然后在策略中的服务选项中指定开通的端口服务。两者的区别是前者不完全占用一个IP地址,还可以映射使用其它端口的服务器,而后者占用一个IP地址,其它服务器不能再使用这个IP地址。
建立访问策略
所有的虚拟IP,都需要引用到防火墙策略中才能生效。
① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。这里用一条策略就引用了两个映射。
测试效果
现在服务器映射完成了,可以查看映射的结果。
①
用浏览器打开映射后的IP地址及端口号,可以正常访问服务器,表明映射成功。
②也可以用telnet命令单独测试映射的端口是不是通的
。
③如果显示黑屏,没有报错,表明端口是通的,映射成功。
飞塔技术-老梅子 QQ:57389522
网络拓扑
固定IP宽带通常会给予多个IP地址,除了上网之外,多余的IP地址可以用来映射多台服务器到外网。
添加可用IP地址
固定IP宽带多余的IP地址必须在接口中设置后才能使用。
① 选择菜单【系统管理】-【网络】-【接口】,双击固定IP宽带接口,或点击接口选择 Edit。
② 【附加的IP地址】选项打钩,在下面小窗口加入其它的可用IP地址,访问方式和主IP一样,需要加上https和ping,这样这些IP地址也就可以Ping通或直接用来访问防火墙。
创建虚拟IP
虚拟IP即VIP,虚拟IP是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟IP的映射关系会影响到源地址转换,也就是防火墙会优先匹配虚拟IP的映射关系,再匹配防火墙策略中选择的源地址转换方式。
① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New。
② 输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口(不要选择默认的any,不然后面会出错),外部IP地址填写固定IP宽带的可用地址,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。
③ 如果不指定端口转发,默认所有的端口都一一映射,也可以选择端口转发,指定需要映射的端口,这里一次只能建立一个端口映射。但是外部端口可以和映射端口不一致,例如外部端口号为8088,映射端口为80,这样映射的服务器访问用 http://域名或IP地址:8088 这种方式。
【提示】如果一台服务器有多个端口需要映射,可以为每个映射端口建立一个虚拟IP,然后在策略中一次性全部指定。也可以在虚拟IP中不选择端口转发,默认映射全部端口,然后在策略中的服务选项中指定开通的端口服务。两者的区别是前者不完全占用一个IP地址,还可以映射使用其它端口的服务器,而后者占用一个IP地址,其它服务器不能再使用这个IP地址。
建立访问策略
所有的虚拟IP,都需要引用到防火墙策略中才能生效。
① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。这里用一条策略就引用了两个映射。
测试效果
现在服务器映射完成了,可以查看映射的结果。
①
用浏览器打开映射后的IP地址及端口号,可以正常访问服务器,表明映射成功。
②也可以用telnet命令单独测试映射的端口是不是通的
。
③如果显示黑屏,没有报错,表明端口是通的,映射成功。
飞塔技术-老梅子 QQ:57389522
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 宽带篇(5.2) 02. 固定IP宽带 ❀ 飞塔 (Fortinet) 防火墙
- 映射篇(5.2) 02. ADSL拨号宽带映射 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.2) 01. ADSL拨号宽带 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 05. 流量控制 - 每个 IP 限速 ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 01. 网线连接 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.4) 01. 宽带上网设置 ❀ 飞塔 (Fortinet) 防火墙
- 映射篇(5.4) 01. 映射服务器到外网 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.2) 01. 修改接口IP地址 ❀ 飞塔 (Fortinet) 防火墙
- 诊断篇(5.2) 01. 接口故障排查 ❀ 飞塔 (Fortinet) 防火墙
- 防护篇(5.2) 01. 防范 WiFi Kill 攻击 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.2) 03. 多条宽带分流 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 01. 禁止指定的 IP 上网 ❀ 飞塔 (Fortinet) 防火墙
- 维护篇 09. 忘记密码或接口 IP ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙