- 我有一台工控机,供应商加了一个工控VPN盒子(下图设备A),并把局域网内所有设备都设置为以它为网关。
- 供应商非常注重安全,不会设置(如果可能的话)NAT规则来允许我与机器LAN上的设备进行通信。这阻止了我收集机器数据以及从办公室或家里提供远程支持。
设备 B 的正确术语或名称是什么?
- 一个 WAN 和 LAN 端口。
- 能够设置多个 WAN 地址并将对这些地址的请求绑定或转发到特定的 LAN 地址。
- 使请求看起来是本地的,这样响应就不需要使用网关(这会将响应发送到错误的方向)。
它是反向代理吗?我推测这个问题之前已经解决过很多次了,Linux 配置可能会有所帮助。我应该使用什么搜索词?
非常感谢。
答案1
A)这听起来确实很像普通的路由器(又名网关)。您列出的所有功能都是路由器通常能够实现的常见 NAT(SNAT 和 DNAT)。
例如,第二项是常规 DNAT(又名“端口转发”),只是具有更具体的匹配参数——您需要的是一个允许在 DNAT 规则中匹配“外部 IP”的路由器,实际上许多路由器都这样做。同样,第三项是许多路由器已经在 WAN 接口上执行的同一种 SNAT(又名“伪装”),只是在您的情况下,它是通过 LAN 接口完成的。
因此,主要要看的是路由器的固件是否足够灵活,即你想要的是不是特定的“家庭/办公室无线”路由器假设固定的使用情况,但更通用的“企业路由器”允许您从头开始构建其行为。(我不知道这是否是正确的术语——当然,它不一定是企业级的——但真正的问题是它是只是一个通用路由器。有时“企业防火墙”也可能适用。)
举个具体的例子,装有 RouterOS 或 OpenWRT 的设备应该具备必要的功能。一台有两个以太网端口的计算机,运行能够路由和 NAT 的操作系统(例如,任何带有 nftables/iptables 的 Linux,或某些带有普法) 也能很好地完成这项工作。
b)话虽如此,一切都可能还可以通过“反向代理”来完成,主要的区别在于代理在更高的层上工作,例如,它们处理 TCP 连接甚至单个 HTTP 请求而不是原始 IP 数据包,因此您需要根据要执行的通信类型来选择它。
但这实际上意味着你的第三个功能是“内置”到所有反向代理中的,因为代理会在内部从自己的 LAN 地址建立一个全新的连接——相反,保存源地址会比较难。
反向代理也与“负载均衡器”有一定重叠(许多代理都宣称自己是两者兼而有之)。它们不一定是专用设备或装置,通常只是在通用计算机上运行的软件,例如 Nginx、HAproxy 或 Relayd。
因此,如果您的请求都是基于 HTTP 的,那么 HTTP 反向代理就可以工作(它甚至可以在 WAN 端添加 HTTPS,同时仍在内部使用纯文本 HTTP),但许多代理/平衡器也可以执行原始 TCP。(我认为通用 UDP 支持不太常见,但并非不存在。)
在这两种情况下,我认为“WAN 和 LAN 端口”并不是您真正想要的。我认为恰恰相反——企业路由器没有具有预定义的此类端口(并且只有以太网1,以太网2等)比具有此类端口的路由器更能灵活地满足您的目的。