目前卡在雙層內網的port mapping失敗, 有請各位大神指點.
目前的網路架構如下
搭建雙層內網是希望可以稍微提高一點點安全性.
目前在RPI1上面安置了web服務(port 80), 希望透過port mapping的方式, 讓外網以a.b.c.d:5567連接到RPI1:80的web服務.
至於RPI2, 只是想確認小烏龜的port mapping設定是否正確, 而設置的一個臨時機器.
先提一下小烏龜的設定:
小烏龜是中華提供的ZyXEL P880, NAT的Virtual Server開了兩個port, 分別是
1. port 5566對到NAT 192.168.1.102的port 80(也就是RPI2), 用來確認小烏龜的port mapping是否正確: 結果是沒問題的.
2. port 5567對到NAT 192.168.1.101的port 5567(也就是運行RouterOS的RB750), 這部分還要經過RB750將port 5567轉到第二層內網的192.168.88.224:80才算完成: 這個部分目前是卡關的
因為port 5566的正常運作, 外網都可以正確轉到RPI2的port80, 所以我推斷小烏龜的設定沒有問題.
接下來RouterOS的NAT總共新增五條Rule:
- #0, a.b.c.d:5567 port map到RPI1:80
- #1, 192.168.1.101:5567 port map到RPI1:80
- #2, 192.168.88.1:5567 port map到RPI1:80
- #3, masquerade 192.168.1.*讓內網可以置換IP
- #4, masquerade 192.168.88.*讓內網可以置換IP
- #5是原本就存在的
設定後的狀況如下:
- 內網的PC 192.168.8.8可以透過a.b.c.d:5567正確的打開RPI1:80 的web頁面
- 外網無法透過a.b.c.d:5567打開RPI1:80
- 外網可以透過a.b.c.d:5566打開RPI2:80
但接下來沒啥頭緒, 希望大家可以指點迷津一下.
