1. 背景與目標
將內網服務(如Web服務器、SSH、數據庫)通過公網訪問,需將內網私有IP(如192.168.x.x)映射至外網公網IP。本方案提供多種實現方式,適應家庭、企業及云環境。
2. 核心方案選型
根據場景選擇以下方案之一:
- 方案A:路由器端口映射(推薦)
適用場景:家庭/小型企業網絡,擁有物理路由器控制權。 - 方案B:云平臺NAT網關
適用場景:公有云(如AWS/Azure/阿里云)環境。 - 方案C:反向代理(Nginx/HAProxy)
適用場景:無路由器權限或需靈活流量管理。 - 方案D:VPN反向訪問
適用場景:高安全要求,避免直接暴露端口。
3. 方案A:路由器端口映射(詳細步驟)
3.1 前置條件
- 內網主機IP及端口(如
192.168.1.100:80)。
3.2 配置流程
- 登錄路由器管理界面
訪問http://192.168.1.1,輸入管理員賬號密碼。 - 添加規則示例:
外部端口: 8080
內部IP: 192.168.1.100
內部端口: 80
協議: TCP/UDP
- 注冊DDNS服務(如花生殼、No-IP),綁定域名。
- 開放防火墻規則
確保路由器防火墻允許外部流量進入指定端口(如8080)。
3.3 驗證訪問
- 外網通過
http://公網IP:8080或http://ddns域名:8080訪問內網服務。
4. 方案B:云平臺NAT網關配置(以阿里云為例)
4.1 前置條件
4.2 配置流程
- 添加規則:
公網端口: 2200
私網IP: 192.168.2.5
私網端口: 22
協議: TCP
4.3 驗證訪問
- 通過SSH連接至NAT網關EIP的2200端口:
ssh user@nat_gateway_eip -p 2200
5. 方案C:Nginx反向代理配置
5.1 安裝與配置
- 安裝Nginx
# Ubuntu
sudo apt install nginx
- 編輯配置文件
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://192.168.1.100:8080;
proxy_set_header Host $host;
}
}
- 重啟服務
sudo systemctl restart nginx
5.2 安全加固
- 配置SSL(Let's Encrypt):
sudo certbot --nginx -d example.com
6. 安全與優化建議
- 最小化暴露:僅開放必要端口,使用非標準端口降低掃描風險。
- IP白名單:在路由器/防火墻限制來源IP(如企業VPN出口IP)。
- 服務更新:確保內網服務補丁及時更新,避免漏洞利用。
7. 故障排查
- 檢查端口連通性:
telnet 公網IP 端口 # 或使用nmap
閱讀原文:原文鏈接
該文章在 2025/3/28 11:32:06 編輯過
400 186 1886
