1、1FVX538/FVS338 V2.0 防火墙端口映射功能设置本文将详细介绍在 FVX538/FVS338 V2.0 如何设置端口映射功能,端口映射功能主要是将防火墙 WAN的公网 IP 地址的某个端口或某一段的端口映射到局域网的某台 PC 的 IP 地址,实现从 Internet 的用户能通过 WAN 公网 IP 访问内部局域网的某一应用或程序。一、端口的定义FVX538 的 Rules 中默认定义好了若干端口在列表中如 WEB、FTP 等,但是遇到需要使用一些没有定义在列表中的服务端口时候,则需要预先定义好端口参数才行,如 pcanywhere 软件的通讯端口,SQL SERVER 的通讯
2、端口等,过程如下:登陆到 FVX538 的管理界面,在 SecurityServices菜单中,在Add customer Services下面的菜单中填入,如下图所示:本例子中我们定义一个服务 pcanywhere,用户需要在 Internet 通过 pcanywhere 工具管理网络中的电脑;如上图,名称(name)为自己定义的pcanywhere,类型(Type)定义为 TCP 或 UDP,TCP 端口为5631,UDP 端口为 5632,然后按一下Add添加即可,添加完成后返回 Services 设置页面,如下图所示:2OK,下一步我们说明如何定义 Rules.二、LAN WAN In
3、bound Server 规则的使用Rules 生效的接口包括:LAN WAN Rules、DMZ WAN Rules 和 LAN DMZ Rules,本文我们主要介绍LAN WAN 规则中的 Inbound Services 功能,即通过设置 Inbound Services 实现端口映射功能。在 SecurityFirewall rules菜单中点击 LAN WAN rules,我们即可以看到 Outbound services 和 Inbound services 两个选项,其中:outbound Services:为向外的意思,该项定义是 LAN 向 WAN 发出去的的数据包的规则的;
4、默认的配置是有 LAN 向 WAN 发出的数据包都是允许的,该配置主要是用于控制 LAN 至 WAN 的上网规则。Inbound Services: Inbound 为入站,向内的意思,该项定义是 WAN 主动发起到 LAN 的数据包规则的;默认的配置是 WAN 主动向 LAN 发起的数据连接请求都是拒绝的;我们设置端口映射功能即在该选项进行设定即可。我们刚才定义了 pcanywhere 的 TCP 端口 5631 和UDP 端口 5632,现在即可以通过 Inbound services 中添加规则,实现端口映射的功能。那么 rules 规则的定义如下:在 Inbound Services
5、下选择 Add:Service:选择 pcanywhere(TCP:5631)和 pcanywhere2(UDP:5632) ;系统默认没有定义好 pcanywhere服务端口(刚才已定义好)Action:选择 ALLOW always3Send to LAN Server:来自 WAN 的该服务的数据包转发到那台服务器上,譬如你装有 pcanywhere 的服务器的局域网 IP 地址为 192.168.1.98,我们即填写该地址即可;Translate to Port Number:留空即可,如果您的 LAN 中有多台服务器需要发布同一个服务,那么该选项则需要用上;WAN Users:意思为
6、那些 Internet 用户可以访问该端口,默认为全部;Public Destination IP Address(公有目标 IP 地址):即填写 WAN1 公网的 IP 地址,你若有多个公网 IP 地址,也可以选择Other Public IP address。这里一般使用 WAN1 公有 IP 地址实现映射即可其他为默认值就 OK 了,然后按Apply。OK,现在我们已经完成端口映射的设置,现在 Internet 用户都可以访问 WAN1 端口的 pcanywhere 端口服务。三、常用服务的端口映射另外,若你要使用一些常用的服务,FVX538/FVS338 已预先定义好相关的服务,因此,
7、我们不需要在 SecurityServices菜单中进行预定义,即可以通过 Firewall LAN WAN rules 规则中的 Inbound Services中进行定义,如 WEB 服务、FTP 服务、SMTP 服务、POP3 服务等等,如下面的例子将直接利用FVX538/FVS338 预先定义好的 WEB 服务和 FTP 服务进行端口映射:1实现 WEB 服务器的端口映射:即所有用户都可以通过 Internet 访问公有 IP 地址 58.62.221.132 的WEB 服务在 Inbound Services 下选择 Add,如下图:Service:选择 HTTP(TCP:80)+N
8、one;系统默认已经定义好 WEB 服务端口了,否则需要在第一章中的说明,在 Services 菜单中预先定义服务端口。Action:选择 ALLOW always4Send to LAN Server:来自 WAN 的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到 192.168.1.199 上;Translate to Port Number:留空即可,如果您的 LAN 中有多台服务器需要发布同一个服务,那么该选项则需要用上;WAN Users:意思为那些 Internet 用户可以访问该端口,默认为全部;Public Destination IP Address(公有目标
9、 IP 地址):根据我们的例子功能要求,192.168.1.199 与58.62.221.132 公有 IP 地址实现静态映射;因此,这里应该选择Other Public IP Address,下方填入有效的公有 IP:58.62.221.132.其他为默认值就 OK 了,然后按Apply。如下图所示:如果有多个公有 IP 地址需要与 LAN 中的多台服务器一一对应影射,则可以通过此方法进行配置,规则设置好后在 RULES 菜单中看到:52FTP 服务器端口映射,即所有用户都可以访问 WAN1 端口的 FTP 端口。在 Inbound Services 中选择 Add,如下图:Service:
10、选择 FTP(TCP:2021+None);系统默认已经定义好 FTP 服务端口了,否则需要在第一章中的说明,在 Services 菜单中预先定义服务端口。Action:选择 ALLOW alwaysSend to LAN Server:来自 WAN 的该服务的数据包转发到那台服务器上,根据我们例子说明,应该转发到 192.168.1.200 上;Translate to Port Number:留空即可,如果您的 LAN 中有多台服务器需要发布同一个服务,那么该选项则需要用上;WAN Users:意思为那些 Internet 用户可以访问该端口,默认为全部;Public Destination IP Address(公有目标 IP 地址):根据我们的例子功能要求,这里应该使用 WAN1 公有IP 地址(58.62.221.130)实现动态影射;其他为默认值就 OK 了,然后按Apply。6OK,现在已完成 WEB 服务器和 FTP 服务器的端口映射功能,所有 Internet 的用户都可以通过 WAN1 的公网 IP 地址或对应的公网 IP 对 WEB 服务器和 FTP 服务器。
