- 我有一台工業機器。供應商添加了工業 VPN 盒(下面的設備 A),並將 LAN 上的所有設備設定為使用它作為網關。
- 供應商非常注重安全,不會設定(如果可能的話)NAT 規則來允許我與機器 LAN 上的設備進行通訊。這使得我無法收集機器數據以及從辦公室或家中提供遠端支援。
設備 B 的正確術語或名稱是什麼,
- 一個 WAN 和 LAN 連接埠。
- 能夠設定多個 WAN 位址並將這些位址的請求綁定或轉送到特定的 LAN 位址。
- 使請求顯示為本地,以便回應不需要使用網關(這會將回應傳送到錯誤的方向)。
它是一類反向代理嗎?我認為這個問題以前已經解決過很多次了,Linux 配置可以提供幫助。我應該使用什麼搜尋字詞?
非常感謝。
答案1
A)聽起來確實很像普通的路由器(又稱網關)。您列出的所有功能都是路由器通常具備的常用 NAT(SNAT 和 DNAT)功能。
例如,第二項是常規 DNAT(又稱「連接埠轉送」),僅具有更具體的匹配參數 - 您需要的是一個允許在 DNAT 規則中匹配「外部 IP」的路由器,許多實際上都這樣做。同樣,第三項與許多路由器已經在 WAN 介面上執行的 SNAT(又稱為「偽裝」)相同,只是在您的情況下,它是在退出 LAN 介面時完成的。
所以主要看路由器的韌體是否夠靈活,即你想要的是不是特定的「家庭/辦公室無線」類型的路由器假設固定的用例,但更通用的「企業路由器」可讓您從頭開始建立其行為。 (我不知道這是否真的是正確的術語——當然,它不必是企業定價——但真正的問題是它是只是一個通用路由器。有時「企業防火牆」也可能適合。
作為一個具體範例,具有 RouterOS 或 OpenWRT 的裝置應該具有必要的功能。具有兩個乙太網路連接埠的計算機,運行能夠路由和 NAT 的作業系統(例如任何具有 nftables/iptables 的 Linux,或具有某些 BSD 變體)普夫)也能很好地完成工作。
b)話雖這麼說,一切都可以也使用「反向代理」完成,主要區別在於代理程式在更高層工作,例如,它們處理 TCP 連接甚至單個 HTTP 請求,而不是原始 IP 封包,因此您需要根據您的通訊類型來選擇它將會表演。
但這實際上意味著您的第三個功能是「內建」到所有反向代理的,因為代理程式會在內部從自己的 LAN 位址建立一個全新的連接 - 相反,儲存來源位址會更難。
反向代理也與「負載平衡器」有些重疊(許多人宣稱自己兩者兼而有之)。它們不一定是專用設備或設備,通常只是在通用電腦上運行的軟體,例如 Nginx、HAproxy 或中繼。
因此,如果您的請求都是基於HTTP 的,那麼HTTP 反向代理程式就可以工作(它甚至可以在WAN 端添加HTTPS,同時仍在內部傳輸純文字HTTP),但許多代理程式/平衡器也可以執行原始TCP。 (我認為通用 UDP 支援雖然不太常見,但並非不存在。)
在這兩種情況下,我認為「WAN 和 LAN 連接埠」並不是您真正想要的。我想說的恰恰相反——企業路由器不預先定義此類連接埠(並且僅具有乙太網路 1、乙太網路 2 等)比路由器更能靈活地滿足您的目的。