通过地址伪装技术(masquerade)实现动态网络地址转换,以达到LAN内主机通过配置TCP/IP参数连接internet网目的。一些企业,尤其是一些大中型企业,需要对外开放自己的企业服务器,如WEB、FTP、OA等应用服务器,若直接将这些服务器挂到公网上,不仅需要更多的合法IP,造成成本的增加,而且对服务器的安全保护也是极为不利,同时还造成企业内部用户访问造成“曲线回巢”效果。为了解决这么一个问题,可以将企业服务器安装在企业LAN内,在ROS中配置端口映射,企业对外公布的服务地址是ROS的WAN口地址(一个合法的IP地址或域名),当外部用户防问企业服务器时,ROS将该连接直接映射到企业LAN中的某一台主机即可正常访问,从而达到了一IP多用途、经济、安全和高效的网络服务。下面以企业内安装Web服务器为例介绍配置过程,其他服务器配置类似。 一、修改ROS占用的默认服务端口。 方法1:修改,在Winbox中选"IP"--->"services"--->双击"www"--->在"Port"栏中将默认的80端口改为一个1024以后的端口号--->"Apply"--->"OK"。 方法2:禁用www,如果不需要ROS开放www服务,完全可以关闭该服务,在Winbox中选"IP"--->"services"--->选中"www"--->点击工具样上的"X"disable按钮。 二、建立端口映射。 1、在Winbox中选"IP"--->"firewall"--->选择"general"选项卡--->在"chain"栏中选"dstnat"(即对包头的目标IP转换)--->在"Dst Address"栏中输入WAN口的IP地址(合法)--->在"Protocol"栏中选"6 (tcp)"--->在"Dst Port"栏中输入"80"。 2、在以上窗口中选"Action"选项卡--->在"Action"栏中选"Dstnat"--->在"To Address"栏中输入企业LAN内的Web服务器的IP地址(私有IP)--->在"To Ports"栏中输入企业Web服务器所用的端口号,如80。 3、"Apply"--->"OK"
到此为止,端口映射完成。
|