映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙
2016-12-06 11:46
856 查看
【简介】早期单位的对外访问服务器通常是托管在宽带运营商的中心机房,管理自由程度不高,现在大多数单位自建机房,服务器就在身边,可以方便的将服务器通过固定IP宽带映射到外网,允许从外网进行访问。
![](https://oscdn.geek-share.com/Uploads/Images/Content/201706/8424c4441e4ed8b5f84b929f488bf2ce)
网络拓扑
固定IP宽带通常会给予多个IP地址,除了上网之外,多余的IP地址可以用来映射多台服务器到外网。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/e930ab30efdfacde94b3922b090d3321)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201706/0626e96a29a33a2eb35938fd09d67a48)
添加可用IP地址
固定IP宽带多余的IP地址必须在接口中设置后才能使用。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/022e774a4ce751c0a983b0b7dd9eedcd)
① 选择菜单【系统管理】-【网络】-【接口】,双击固定IP宽带接口,或点击接口选择 Edit。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/7cfe10695dbb07f2206dff403ceb520d)
② 【附加的IP地址】选项打钩,在下面小窗口加入其它的可用IP地址,访问方式和主IP一样,需要加上https和ping,这样这些IP地址也就可以Ping通或直接用来访问防火墙。
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/e42ed61230e38e8497673332e6580648)
创建虚拟IP
虚拟IP即VIP,虚拟IP是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟IP的映射关系会影响到源地址转换,也就是防火墙会优先匹配虚拟IP的映射关系,再匹配防火墙策略中选择的源地址转换方式。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/81ebf2902052bd782d6bd5a74297b05a)
① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/3c6418927c244da084756d32282fa4cf)
② 输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口(不要选择默认的any,不然后面会出错),外部IP地址填写固定IP宽带的可用地址,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/c1a884b5a6c7f803047177567210fd49)
③ 如果不指定端口转发,默认所有的端口都一一映射,也可以选择端口转发,指定需要映射的端口,这里一次只能建立一个端口映射。但是外部端口可以和映射端口不一致,例如外部端口号为8088,映射端口为80,这样映射的服务器访问用 http://域名或IP地址:8088 这种方式。
![](https://oscdn.geek-share.com/Uploads/Images/Content/201711/46b5a7e3c0691579d0d6a6b0be2e2ab9)
【提示】如果一台服务器有多个端口需要映射,可以为每个映射端口建立一个虚拟IP,然后在策略中一次性全部指定。也可以在虚拟IP中不选择端口转发,默认映射全部端口,然后在策略中的服务选项中指定开通的端口服务。两者的区别是前者不完全占用一个IP地址,还可以映射使用其它端口的服务器,而后者占用一个IP地址,其它服务器不能再使用这个IP地址。
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/1f9abf2f79b1069e8ade5d798b409b2c)
建立访问策略
所有的虚拟IP,都需要引用到防火墙策略中才能生效。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/e89ce21fa4ea1656bd67b2568d034c5b)
① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。这里用一条策略就引用了两个映射。
![](https://oscdn.geek-share.com/Uploads/Images/Content/201709/da7a1a93f4f4ab2f376b65ca85e083ac)
测试效果
现在服务器映射完成了,可以查看映射的结果。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/e31ac6f9779c5903125c62efabcb61c2)
①
用浏览器打开映射后的IP地址及端口号,可以正常访问服务器,表明映射成功。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/67f5d60de4fa83cd2ab5c30e0034d930)
②也可以用telnet命令单独测试映射的端口是不是通的
。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202008/18/241802daaf80ccf4189c1d8a922e7e47)
③如果显示黑屏,没有报错,表明端口是通的,映射成功。
飞塔技术-老梅子 QQ:57389522
网络拓扑
固定IP宽带通常会给予多个IP地址,除了上网之外,多余的IP地址可以用来映射多台服务器到外网。
添加可用IP地址
固定IP宽带多余的IP地址必须在接口中设置后才能使用。
① 选择菜单【系统管理】-【网络】-【接口】,双击固定IP宽带接口,或点击接口选择 Edit。
② 【附加的IP地址】选项打钩,在下面小窗口加入其它的可用IP地址,访问方式和主IP一样,需要加上https和ping,这样这些IP地址也就可以Ping通或直接用来访问防火墙。
创建虚拟IP
虚拟IP即VIP,虚拟IP是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟IP的映射关系会影响到源地址转换,也就是防火墙会优先匹配虚拟IP的映射关系,再匹配防火墙策略中选择的源地址转换方式。
① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New。
② 输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口(不要选择默认的any,不然后面会出错),外部IP地址填写固定IP宽带的可用地址,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。
③ 如果不指定端口转发,默认所有的端口都一一映射,也可以选择端口转发,指定需要映射的端口,这里一次只能建立一个端口映射。但是外部端口可以和映射端口不一致,例如外部端口号为8088,映射端口为80,这样映射的服务器访问用 http://域名或IP地址:8088 这种方式。
【提示】如果一台服务器有多个端口需要映射,可以为每个映射端口建立一个虚拟IP,然后在策略中一次性全部指定。也可以在虚拟IP中不选择端口转发,默认映射全部端口,然后在策略中的服务选项中指定开通的端口服务。两者的区别是前者不完全占用一个IP地址,还可以映射使用其它端口的服务器,而后者占用一个IP地址,其它服务器不能再使用这个IP地址。
建立访问策略
所有的虚拟IP,都需要引用到防火墙策略中才能生效。
① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。这里用一条策略就引用了两个映射。
测试效果
现在服务器映射完成了,可以查看映射的结果。
①
用浏览器打开映射后的IP地址及端口号,可以正常访问服务器,表明映射成功。
②也可以用telnet命令单独测试映射的端口是不是通的
。
③如果显示黑屏,没有报错,表明端口是通的,映射成功。
飞塔技术-老梅子 QQ:57389522
相关文章推荐
- 宽带篇(5.2) 02. 固定IP宽带 ❀ 飞塔 (Fortinet) 防火墙
- 映射篇(5.2) 02. ADSL拨号宽带映射 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.2) 01. ADSL拨号宽带 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.2) 05. 流量控制 - 每个 IP 限速 ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 01. 网线连接 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.4) 01. 宽带上网设置 ❀ 飞塔 (Fortinet) 防火墙
- 映射篇(5.4) 01. 映射服务器到外网 ❀ 飞塔 (Fortinet) 防火墙
- 接口篇(5.2) 01. 修改接口IP地址 ❀ 飞塔 (Fortinet) 防火墙
- 诊断篇(5.2) 01. 接口故障排查 ❀ 飞塔 (Fortinet) 防火墙
- 防护篇(5.2) 01. 防范 WiFi Kill 攻击 ❀ 飞塔 (Fortinet) 防火墙
- 宽带篇(5.2) 03. 多条宽带分流 ❀ 飞塔 (Fortinet) 防火墙
- 限制篇(5.4) 01. 禁止指定的 IP 上网 ❀ 飞塔 (Fortinet) 防火墙
- 维护篇 09. 忘记密码或接口 IP ❀ 飞塔 (Fortinet) 防火墙
- 连接篇(5.2) 03. 配置线连接 ❀ 飞塔 (Fortinet) 防火墙