MX 上的端口转发和 NAT 规则
To view this article in English, click here.
我们经常需要从互联网访问防火墙后面的服务器。要做到这一点,您可以在 MX 安全设备上实施端口转发、一对一 NAT(网络地址转换)或一对多 NAT。本文讨论配置每种规则的适当情形以及它们的局限性。
端口转发
端口转发获取发往 MX 安全设备的互联网接口的特定 TCP 或 UDP 端口,并将其转发到特定的内部 IP。对于没有公共 IP 地址池的用户来说,这是最佳选择。此功能可以将不同的端口转发到不同的内部 IP 地址,允许从同一公共 IP 地址访问多个服务器。
请注意:它无法将单个 TCP 或 UDP 端口转发到多个局域网设备。
一对一 NAT
一对一 NAT 适用于有多个公共 IP 地址可用的用户,以及防火墙后有多个服务器(例如两个 Web 服务器和两个邮件服务器)的网络。配置一对一 NAT 映射仅可以使用不属于 MX 安全设备的 IP 地址。如果 ISP 路由发往 MX 接口的子网流量,那么它还可以转换与 WAN 接口地址不同的子网中的公共 IP 地址。添加的每个转换都采用一对一规则,这意味着发往公共 IP 地址的流量只能流向一个内部 IP 地址。在每个转换中,用户可以指定要向内部 IP 转发的端口。
一对多 NAT
一对多 NAT 配置允许 MX 将流量从配置的公共 IP 转发到内部服务器。但不同于一对一 NAT 规则,一对多 NAT 允许在不同的端口上将单个公共 IP 转换为多个内部 IP。对于每个一对多 IP 定义,必须指定单个公共 IP,然后可将多个端口转发规则配置为根据端口向局域网中的不同设备转发流量。与一对一 NAT 相同,一对多 NAT 定义无法使用属于 MX 的 IP 地址。
