文章目录
1. 背景与目标2. 核心方案选型3. 方案A:路由器端口映射(详细步骤)3.1 前置条件3.2 配置流程3.3 验证访问
4. 方案B:云平台NAT网关配置(以阿里云为例)4.1 前置条件4.2 配置流程4.3 验证访问
5. 方案C:Nginx反向代理配置5.1 安装与配置5.2 安全加固
6. 安全与优化建议7. 故障排查
1. 背景与目标
将内网服务(如Web服务器、SSH、数据库)通过公网访问,需将内网私有IP(如192.168.x.x)映射至外网公网IP。本方案提供多种实现方式,适应家庭、企业及云环境。
2. 核心方案选型
根据场景选择以下方案之一:
方案A:路由器端口映射(推荐) 适用场景:家庭/小型企业网络,拥有物理路由器控制权。方案B:云平台NAT网关 适用场景:公有云(如AWS/Azure/阿里云)环境。方案C:反向代理(Nginx/HAProxy) 适用场景:无路由器权限或需灵活流量管理。方案D:VPN反向访问 适用场景:高安全要求,避免直接暴露端口。
3. 方案A:路由器端口映射(详细步骤)
3.1 前置条件
内网主机IP及端口(如192.168.1.100:80)。路由器管理员权限及公网IP(静态或动态)。
3.2 配置流程
登录路由器管理界面 访问http://192.168.1.1,输入管理员账号密码。配置端口转发规则
位置:通常在高级设置 > NAT/端口转发。添加规则示例:
外部端口: 8080
内部IP: 192.168.1.100
内部端口: 80
协议: TCP/UDP
配置DDNS(动态IP场景)
注册DDNS服务(如花生壳、No-IP),绑定域名。在路由器中填写DDNS账号,自动更新IP映射。
开放防火墙规则 确保路由器防火墙允许外部流量进入指定端口(如8080)。
3.3 验证访问
外网通过http://公网IP:8080或http://ddns域名:8080访问内网服务。
4. 方案B:云平台NAT网关配置(以阿里云为例)
4.1 前置条件
云服务器ECS位于私有子网。已创建NAT网关并绑定弹性公网IP(EIP)。
4.2 配置流程
创建端口转发条目
进入VPC控制台 > NAT网关 > 端口转发。添加规则:
公网端口: 2200
私网IP: 192.168.2.5
私网端口: 22
协议: TCP
配置安全组
关联ECS的安全组需放行对应端口(如2200)。
4.3 验证访问
通过SSH连接至NAT网关EIP的2200端口:
ssh user@nat_gateway_eip -p 2200
5. 方案C:Nginx反向代理配置
5.1 安装与配置
安装Nginx
# Ubuntu
sudo apt install nginx
编辑配置文件
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://192.168.1.100:8080;
proxy_set_header Host $host;
}
}
重启服务
sudo systemctl restart nginx
5.2 安全加固
配置SSL(Let’s Encrypt):
sudo certbot --nginx -d example.com
6. 安全与优化建议
最小化暴露:仅开放必要端口,使用非标准端口降低扫描风险。IP白名单:在路由器/防火墙限制来源IP(如企业VPN出口IP)。日志监控:记录访问日志,定期审计异常连接。服务更新:确保内网服务补丁及时更新,避免漏洞利用。
7. 故障排查
检查端口连通性:
telnet 公网IP 端口 # 或使用nmap
查看防火墙日志:确认未拦截合法流量。内网测试:确保内网服务本地访问正常。