如何将 LAN 端口开放为仅一个外部 WAN IP 地址？

Question 1

经过几个小时的谷歌搜索，我找到了一个几年前遇到同样问题的人发布的解决方案。http://forums.dlink.com/index.php?topic=61517.15

在家庭 LAN 路由器 d-link DIR-882 Web GUI 中，我打开了“打开 ipv4 过滤并允许列出的规则”，并创建了以下两个规则。

规则 1

名称：允许 LAN 流量
源 IP：LAN : 192.168.0.1 - 192.168.0.254
目标 IP：WAN: 1.1.1.1 - 254.254.254.254
协议和端口：任意
计划：始终启用

上述规则允许所有 LAN 计算机发起与 WAN 的通信。LAN 路由器会自动允许来自 WAN 的任何回复，因此无需设置任何规则来允许 WAN 通信进入 LAN（请参阅底部的注释）。

规则 2

名称：授予一个 WAN-IP 访问
权限源 IP：WAN：我的 WAN IP
目标 IP：LAN：LAN IP
协议和端口：任意
计划：始终启用

上述规则允许我的 WAN IP 地址（且仅允许我的 WAN IP 地址）通过 -ANY- LAN 端口发起与 LAN IP 的通信。或者，有一种方法可以指定一个端口而不是 -ANY-，但这样做意味着要编写另一条规则并更改上述规则。

最后，使用路由器的 Web GUI，我转发了我想要 WAN IP 访问的 LAN 端口。如果您不转发 LAN 端口，那么即使在上述规则中，您允许 WAN 访问任何端口（或该特定端口），该端口仍将对 WAN 关闭。

谢谢。

笔记

http://forums.dlink.com/index.php?topic=48059.msg199390#msg199390
...如果您激活“打开 IPv6 防火墙并允许列出的规则”，则所有入站和出站流量将被完全阻止。在这种情况下，您必须定义至少一条允许任何类型的传出流量的规则（由于防火墙的状态检查功能，该规则隐式允许入站响应流量）。

特别鸣谢超级用户 M 维尔茨和汤姆·延因为认识到我的问题是合法的并且伪编码是可能的解决方案！

Answer

经过几个小时的谷歌搜索，我找到了一个几年前遇到同样问题的人发布的解决方案。http://forums.dlink.com/index.php?topic=61517.15

在家庭 LAN 路由器 d-link DIR-882 Web GUI 中，我打开了“打开 ipv4 过滤并允许列出的规则”，并创建了以下两个规则。

规则 1

名称：允许 LAN 流量
源 IP：LAN : 192.168.0.1 - 192.168.0.254
目标 IP：WAN: 1.1.1.1 - 254.254.254.254
协议和端口：任意
计划：始终启用

上述规则允许所有 LAN 计算机发起与 WAN 的通信。LAN 路由器会自动允许来自 WAN 的任何回复，因此无需设置任何规则来允许 WAN 通信进入 LAN（请参阅底部的注释）。

规则 2

名称：授予一个 WAN-IP 访问
权限源 IP：WAN：我的 WAN IP
目标 IP：LAN：LAN IP
协议和端口：任意
计划：始终启用

上述规则允许我的 WAN IP 地址（且仅允许我的 WAN IP 地址）通过 -ANY- LAN 端口发起与 LAN IP 的通信。或者，有一种方法可以指定一个端口而不是 -ANY-，但这样做意味着要编写另一条规则并更改上述规则。

最后，使用路由器的 Web GUI，我转发了我想要 WAN IP 访问的 LAN 端口。如果您不转发 LAN 端口，那么即使在上述规则中，您允许 WAN 访问任何端口（或该特定端口），该端口仍将对 WAN 关闭。

谢谢。

笔记

http://forums.dlink.com/index.php?topic=48059.msg199390#msg199390
...如果您激活“打开 IPv6 防火墙并允许列出的规则”，则所有入站和出站流量将被完全阻止。在这种情况下，您必须定义至少一条允许任何类型的传出流量的规则（由于防火墙的状态检查功能，该规则隐式允许入站响应流量）。

特别鸣谢超级用户 M 维尔茨和汤姆·延因为认识到我的问题是合法的并且伪编码是可能的解决方案！

Question 2

听起来您需要添加一个允许规则来允许 LAN 流量从 WAN 端口传出。

下面我假设路由器会将 0.0.0.0/0 识别为所有 IPv4 地址的范围。如果不起作用，您可能可以使用 0-255.0-255.0-255.0-255。DIR-882 手册未指定格式。

局域网到互联网的规则如下

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: WAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

您可能还希望允许 LAN 客户端进行通信

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: LAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

如果您的路由器有 WAN ipv6 地址，您可能也希望为其启用类似的规则。

您也可以改用 DENY 规则，指定任何 WAN IP 作为源，并将您的 LAN 计算机指定为目标。这将防止防火墙默认阻止所有内容。唯一的问题是将此规则拆分为两个范围以允许您的 WAN 主机访问。

Answer

听起来您需要添加一个允许规则来允许 LAN 流量从 WAN 端口传出。

下面我假设路由器会将 0.0.0.0/0 识别为所有 IPv4 地址的范围。如果不起作用，您可能可以使用 0-255.0-255.0-255.0-255。DIR-882 手册未指定格式。

局域网到互联网的规则如下

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: WAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

您可能还希望允许 LAN 客户端进行通信

Source IP address range: LAN 0.0.0.0/0
Destination IP address range: LAN 0.0.0.0/0
Protocol and port range: ANY: 0-65535

如果您的路由器有 WAN ipv6 地址，您可能也希望为其启用类似的规则。

您也可以改用 DENY 规则，指定任何 WAN IP 作为源，并将您的 LAN 计算机指定为目标。这将防止防火墙默认阻止所有内容。唯一的问题是将此规则拆分为两个范围以允许您的 WAN 主机访问。

Question 3

我觉得你的路由器处理这个问题的方式很蠢，全部交通（包括回复交通除了规则明确允许的。（我不确定全部在这种情况下，将仅过滤 WAN 到 LAN 流量，甚至包括 LAN 到 WAN 流量。我想你必须测试才能知道。）换句话说，它过滤纯粹的无国籍者方式。

如果是这样的话，为了使其正常工作，您可能需要有以下允许规则：

源：0.0.0.0/0，目标：LAN 子网，协议：ANY，端口：0-（VNC 端口 - 1）

源：0.0.0.0/0，目标：LAN 子网，协议：ANY，端口：（VNC 端口 + 1）-65535

源：允许远程 WAN IP，目标：VNC 计算机 LAN IP，协议：ANY，端口：VNC 端口

请注意，从 WAN 到使用端口号的其他 LAN 计算机的流量VNC port也将被阻止（并且它们不一定是 VNC 流量）。因此您可能需要更多规则。

（事实上 VNC 可能只使用 TCP 端口，但是，规则已经太多了。）

一个可能“更聪明”的方法是允许临时端口0.0.0.0/0如果 VNC 端口号不在范围内，则将WAN 连接到 LAN 子网。请注意，不同的操作系统可能使用不同的范围。

正如其他人所建议的那样，您可能想尝试 DENY/黑名单方法，但这可能更棘手，具体取决于您如何准确输入源 IP 范围（例如字面意思A-B或通过输入具有前缀长度的子网地址）。

我确实建议在局域网计算机本身上设置防火墙。

Answer