透过固定IP来连接内网平台

小弟对于网路不熟悉，但因为手边产品有对外展示的需求才来请教各位大神情境是公司内部架好一个平台可以透过网页登入操作，希望能在非公司网路下也能连进来，进行展示或是提供IP给客户让客户上线操作目前设备有一台Firewall(有接了两组固定IP)一台Siwtch(L2)三台主机组成的平台(透过一组VIP IP连线)有几个问题求教1.前同事设定了一组固定IP是给CCTV APP连线监控用的(9000 port)，我是否还可以透过这组IP连线至我的平台(不同port?)2.在考虑网路安全的情况下，我是否只需要开启一个port让外部连线?这样安全吗?3.以下是我在Firewall内的一些设定，不知是否有错误或多余的-Entities中有两个zone(public及private)-Public中有两组wanip(其一为上面提到CCTV的)-Private下开了一个network给平台用(192.168.0.0/24)，在其下开一个Host(192.168.0.X)-开了一个Application走TCP，来源及目的port为443-FW规格允许，CCTV那个固I通到平台的Network(192.168.0.0/24)-NAT:来源Public，目标Public-CCTV as Private Host192.168.0.X:443以上设定完后，透过固定IP连线，会连到Firewall....不知道哪个环节出错想麻烦各位大神帮帮忙附上大概的图

02/25更新----------各位大大，后来发现离开机房后连固I就连不到了....所以前面设定应该是无效的Firewall厂牌型号是allied telesis 4050S

3 个回答

• 旧至新
• 新至旧
• 最高Like数

3

林门神JanusLin

iT邦超人 1 级 ‧ 2025-02-21 20:04:10

以上设定完后，透过固定IP连线，会连到Firewall.

从这句判断
Firewall 管理埠 应该是优先占用 80/443
应该先调整管理埠号
然后就可以VIP设定对应到想要对应的设备了

• 
  3

jj82212051

iT邦新手 5 级 ‧
2025-02-25 15:48:11

感谢您回覆
后来我有把Firewall的port改成5000
但本来说连固I会连到Firewall这件事搞错了
出了机房就连不到了....

感谢您回覆<br /> 后来我有把Firewall的port改成5000<br /> 但本来说连固I会连到Firewall这件事搞错了<br /> 出了机房就连不到了....

修改

林门神JanusLin

iT邦超人 1 级 ‧
2025-02-25 19:37:57

给一下 IP 试试

给一下 IP 试试

修改

jj82212051

iT邦新手 5 级 ‧
2025-02-27 09:33:43

门神大大，后来透过楼下bluegrass大大提的方法，可以连到平台了，
但登入后没办法跳转到内部，我想应该是甚么什么内部的设定而已
感谢协助

门神大大，后来透过楼下bluegrass大大提的方法，可以连到平台了，<br /> 但登入后没办法跳转到内部，我想应该是甚么什么内部的设定而已<br /> 感谢协助

修改

0

I.T. Wang

iT邦研究生 5 级 ‧ 2025-02-22 16:02:42

你说的技术，专有名词叫port-forwarding。
防火墙听443转给自己很正常，在你的应用应该是防火墙听9000 port(注)，再转给内部主机的443。
注：先试着转udp 9000，如果不行就转both tcp & udp 9000

• 
  1

jj82212051

iT邦新手 5 级 ‧
2025-02-25 15:48:32

感谢您回覆
后来我有把Firewall的port改成5000
但本来说连固I会连到Firewall这件事搞错了
出了机房就连不到了....
照您的意思是不是把固I:443这个在转发至我VIP IP:443

感谢您回覆<br /> 后来我有把Firewall的port改成5000<br /> 但本来说连固I会连到Firewall这件事搞错了<br /> 出了机房就连不到了....<br /> 照您的意思是不是把固I:443这个在转发至我VIP IP:443

修改

0

bluegrass

iT邦高手 1 级 ‧ 2025-02-24 09:08:00

楼上两位 林门神 I.T. Wang 已经很好说明了

1. 你443被FIREWALL佔用作为MGT
2. 你三台SERVER都要用443
3. 所以你应该把 WAN:443以外, 1023以上的PORT作为PORT FORWARD用
4. 比如

WAN: 1111: = VIP LAN SERVER 1 IP : 443
WAN: 1112: = VIP LAN SERVER 2 IP : 443
WAN: 1113: = VIP LAN SERVER 3 IP : 443

你外部用户就可以用 1111 ~ 1113 来抓你SERVER

PS:
这样算是传统做法, 不算是安全
最理想是用SSLVPN给外户登入后再用SERVER
除非你SERVER服务本来就需要登入才能用

• 
  5

看更多先前的...收起先前的...

bluegrass

iT邦高手 1 级 ‧
2025-02-24 09:09:07

Well-known ports:
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

习惯不用WELL-KNOWN PORT的.

Well-known ports:<br /> https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</p> <p>习惯不用WELL-KNOWN PORT的.

修改

jj82212051

iT邦新手 5 级 ‧
2025-02-25 15:53:17

感谢您回覆
后来我有把Firewall的port改成5000
但本来说连固I会连到Firewall这件事搞错了
出了机房就连不到了....
我其实只需要透过网页连VIP IP即可
不需要直接对到Server
连到平台后也有权限控管机制

感谢您回覆<br /> 后来我有把Firewall的port改成5000<br /> 但本来说连固I会连到Firewall这件事搞错了<br /> 出了机房就连不到了....<br /> 我其实只需要透过网页连VIP IP即可<br /> 不需要直接对到Server<br /> 连到平台后也有权限控管机制

修改

bluegrass

iT邦高手 1 级 ‧
2025-02-25 16:07:34

那就 WAN IP : 443 -> 平台LAN IP :443 就行了
如果你平台用443的话

https://www.alliedtelesis.com/sites/default/files/ngfw_gui_getting_started_revc.pdf

Page 20 ~ 21 是教学

那就 WAN IP : 443 -> 平台LAN IP :443 就行了<br /> 如果你平台用443的话</p> <p>https://www.alliedtelesis.com/sites/default/files/ngfw_gui_getting_started_revc.pdf</p> <p>Page 20 ~ 21 是教学

修改

bluegrass

iT邦高手 1 级 ‧
2025-02-25 16:11:26

Action = Port Forward, Application = 你那两个443跟8000, From = public, With = 平台LAN IP

Action = Port Forward, Application = 你那两个443跟8000, From = public, With = 平台LAN IP

修改

jj82212051

iT邦新手 5 级 ‧
2025-02-27 09:35:02

感谢大大协助，可以成功连到平台，但没办法跳转到登入页面，可能是我们内部的设定问题

感谢大大协助，可以成功连到平台，但没办法跳转到登入页面，可能是我们内部的设定问题

修改