我在办公室网络入口处设置了一台 MikroTik 路由器。我想配置它以进行基于特定域的端口转发。这个任务似乎很常见,但我遇到了困难。以下是我需要实现的目标:
- 对 office1.example.com:443 的请求应重定向到端口 443 上的 Server1。
- 类似地,对 office2.example.com:443 的请求应该重定向到端口 443 上的 Server2。如何在 MikroTik 路由器上设置这些特定于域的端口转发规则?
任何可遵循的指导或步骤都将不胜感激。
答案1
- 对 office1.example.com:443 的请求应重定向到端口 443 上的 Server1。
- 类似地,对 office2.example.com:443 的请求应该重定向到端口 443 上的 Server2。如何在 MikroTik 路由器上设置这些特定于域的端口转发规则?
不能。端口转发没有就是这样的。IP 标头不包含有关域名的任何信息,只包含 IP 地址。
TLS 包含服务器名称指示。这无法在 L3 级别完成,而防火墙正是在此级别运行。此外,使用加密 SNI,必须终止 TLS 连接才能知道发送的 SNI 主机名。您需要A反向代理服务器可以根据 SNI 终止(和代理)到目的地的 TLS 连接。
答案2
首先,你必须为你的域创建地址列表条目
/ip firewall filter add chain=forward protocol=tcp dst-address=<Server1-IP> dst-port=443 action=accept
然后通过以下方式创建 nat 规则:
/ip firewall nat add chain=dstnat protocol=tcp dst-address-list=office1.example.com dst-port=443 action=dst-nat to-addresses=<Server1-IP> to-ports=443
替换信息,如果有效,请对另一个域名重复此操作。请仔细检查语法以防止出现错误。