文章目录
1. 背景与目标
将内网服务(如Web服务器、SSH、数据库)通过公网访问,需将内网私有IP(如192.168.x.x)映射至外网公网IP。本方案提供多种实现方式,适应家庭、企业及云环境。
2. 核心方案选型
根据场景选择以下方案之一:
- 方案A:路由器端口映射(推荐)
适用场景:家庭/小型企业网络,拥有物理路由器控制权。 - 方案B:云平台NAT网关
适用场景:公有云(如AWS/Azure/阿里云)环境。 - 方案C:反向代理(Nginx/HAProxy)
适用场景:无路由器权限或需灵活流量管理。 - 方案D:VPN反向访问
适用场景:高安全要求,避免直接暴露端口。
3. 方案A:路由器端口映射(详细步骤)
3.1 前置条件
- 内网主机IP及端口(如192.168.1.100:80)。
- 路由器管理员权限及公网IP(静态或动态)。
3.2 配置流程
- 登录路由器管理界面
访问http://192.168.1.1,输入管理员账号密码。 - 配置端口转发规则
- 位置:通常在高级设置 > NAT/端口转发。
- 添加规则示例:
外部端口: 8080
内部IP: 192.168.1.100
内部端口: 80
协议: TCP/UDP
- 配置DDNS(动态IP场景)
- 注册DDNS服务(如花生壳、No-IP),绑定域名。
- 在路由器中填写DDNS账号,自动更新IP映射。
- 开放防火墙规则
确保路由器防火墙允许外部流量进入指定端口(如8080)。
3.3 验证访问
- 外网通过http://公网IP:8080或http://ddns域名:8080访问内网服务。
4. 方案B:云平台NAT网关配置(以阿里云为例)
4.1 前置条件
- 云服务器ECS位于私有子网。
- 已创建NAT网关并绑定弹性公网IP(EIP)。
4.2 配置流程
- 创建端口转发条目
- 进入VPC控制台 > NAT网关 > 端口转发。
- 添加规则:
公网端口: 2200
私网IP: 192.168.2.5
私网端口: 22
协议: TCP
- 配置安全组
- 关联ECS的安全组需放行对应端口(如2200)。
4.3 验证访问
- 通过SSH连接至NAT网关EIP的2200端口:
ssh user@nat_gateway_eip -p 2200
5. 方案C:Nginx反向代理配置
5.1 安装与配置
- 安装Nginx
# Ubuntu
sudo apt install nginx
- 编辑配置文件
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://192.168.1.100:8080;
proxy_set_header Host $host;
}
}
- 重启服务
sudo systemctl restart nginx
5.2 安全加固
- 配置SSL(Let’s Encrypt):
sudo certbot --nginx -d example.com
6. 安全与优化建议
- 最小化暴露:仅开放必要端口,使用非标准端口降低扫描风险。
- IP白名单:在路由器/防火墙限制来源IP(如企业VPN出口IP)。
- 日志监控:记录访问日志,定期审计异常连接。
- 服务更新:确保内网服务补丁及时更新,避免漏洞利用。
7. 故障排查
- 检查端口连通性:
telnet 公网IP 端口 # 或使用nmap
- 查看防火墙日志:确认未拦截合法流量。
- 内网测试:确保内网服务本地访问正常。