为了从位于私有局域网上的互联网访问 Web 服务器,我们需要借助 dnat 的概念。我的理解是 dnat 是一种端口转发。如果外部公共网络(例如 Internet)上的某个人连接到路由器公共地址的 Web 端口 (80),他们会被透明地重定向到在内部网络上运行的 Web 服务器的 IP 地址。
简而言之:
- router public ip: 159.149.xx.xxx
- web server private ip: 192.168.10.2
如果有人尝试连接 159.149.xx.xxx:80,它会被重定向到 192.168.10.2:80 对吗?dnat 只是允许“外部”的任何主机访问“内部”的单个主机。
如果我的推理是正确的,那么同样的概念是否可以应用于 microtik 路由板?Microtik 的一名技术人员表示,他启用了端口 ether5,并与内部子网 192.168.10.0/24 建立了关联。UPS Web 服务器已放置在同一个局域网上,静态 IP 为:192.168.10.2。现在,该技术人员说:请告诉我您要启用的端口,以便可以从外部访问 UPS。我应该告诉他:端口 80?还是任何其他端口?
提前致谢。
答案1
针对您之前的观点:是的,这就是 dnat 的工作方式;当通过 WAN IP 从外部访问时,tcp 或 udp 端口会被转换/传递到内部设备。
你可以用同样的方式转发端口来访问路由板,只要它的访问接口是通过特定的 tcp 或 udp 端口,但需要注意的是
- 每个协议 (udp/tcp) 的特定端口只能映射一次
- 您应该考虑打开端口并将其转发到内部设备的安全隐患(在这样做时,您应该绝对确保保护端口通信服务的安全措施良好)