我有一台 Fritz!Box 3490 以及我們的 ISP 提供的 5 個可用的外部 IPv4 位址。 Fritz!Box 將取代我們現有的 DrayTek 2925。
五個 IP 位址之一是 MX;因此,我們使用該 IP 在連接埠 25 上傳送和接收電子郵件,並允許行動裝置透過連接埠 443 遠端連接電子郵件。
使用 Fritz!Box,我希望能夠將傳送到 MX IP 位址的流量轉送到 Exchange 伺服器的本機 IP 位址。 Exchange 伺服器的目前 IP 位址位於 10.1.1.0/24 範圍內。 ISP 表示,為了讓 Fritz!Box 轉送傳送到外部 IP 位址的流量,Fritz!Box 需要知道公用 IPv4 子網路(它確實如此),但 Exchange 伺服器也需要將外部 IP 位址新增至 NIC 。
這是正確的嗎?
至於其他伺服器,ISP 表示它們也需要將外部 IP 位址之一新增至其 NIC。
是否有更簡單的方法,類似於 DrayTek 的做法,我可以告訴它將發送到 EXTERNAL_IP:EXTERNAL_PORT 的流量轉送到 INTERNAL_IP:INTERNAL_PORT?
答案1
您的 ISP 所描述的方法對路由器來說更簡單 – 本質上無非就是路由您的子網路與世界其他地方之間。直接為伺服器分配公共位址是許多資料中心中伺服器的配置方式;它是 IPv6 的標準行為,也曾經是 IPv4 的標準。
DrayTek 使用的方法使用附加功能 – DNAT(連接埠轉送) – 此功能可能存在於路由器上,也可能不存在。即使存在,它也可能無法達到與純路由相同的硬體加速程度(因為需要狀態查找並實際重寫每個資料包的標頭)。
如果您對公共位址的使用較少,那麼NAT 可能會顯得更簡單,並且它本質上允許在多個伺服器之間共享相同的IP 位址(如果您的伺服器多於位址)——將一些連接埠轉送到一個伺服器,將更多連接埠轉送到另一個伺服器,等等。
但是,如果您有足夠的地址和/或大量服務,直接路由最終可能會變得相當簡單。它使伺服器能夠直接且完全控制自己的位址;所以在你配置完之後一次對於每個伺服器,您無需返迴路由器添加更多規則。大多數家庭路由器只允許設定 TCP/UDP 的轉送規則,但不允許設定 GRE、ESP、6in4 或其他更進階的協定;預設情況下,直接路由適用於所有內容。
Fritz!Box 3490 支援 DNAT 配置嗎?只是部分。根據這個頁面它位於「允許存取→連接埠共用」下,但不允許您選擇外部的IP位址。無論您在此處新增什麼連接埠規則,都可能適用於路由到您的所有位址 - 或分配給路由器本身的所有位址(我猜測僅限於一個)。基於Linux的核心作業系統當然支援來源位址匹配,但它沒有在配置UI中公開一些原因;也許是因為它無法進行硬體加速,或者它可能只是一個深思熟慮的決定。但事實仍然是,如果它在配置 UI 中不可用,那麼 Fritz!Box DNAT 將不適合您的多地址用例。
然而,正如我之前提到的,簡單路由(您的 ISP 想要的方法)不需要 Fritz!Box 的任何額外功能 - 它實際上只有一項工作。