核心回答: 要在 USG(UniFi Security Gateway)防火墙上查看已配置的端口映射(端口转发),最直接有效的方式是登录 USG 的命令行界面(CLI),并使用命令 show port-forward status 或 show configuration commands | include port-forward 进行查看,这将列出所有当前生效的端口转发规则及其关键参数(如外部端口、内部IP、内部端口、协议等),对于习惯图形界面的用户,可以在 UniFi Controller 的 “设置” > “高级功能” > “端口转发” 中查看和管理规则。
深入解析:USG 防火墙端口映射查看与管理指南
端口映射(端口转发)是防火墙的核心功能之一,它允许将来自外部网络(如互联网)特定端口的访问请求,安全地重定向到内部网络中的指定服务器(如Web服务器、邮件服务器、NAS、游戏主机等),对于使用 Ubiquiti UniFi Security Gateway (USG) 的用户,清晰掌握如何查看和管理这些规则至关重要,这直接关系到服务的可用性和网络的安全性。
最权威专业的查看方式:命令行界面 (CLI)
虽然 UniFi Controller 提供了图形化界面,但通过 SSH 登录 USG 的 CLI 执行命令,是获取端口映射配置最直接、最完整、也最具权威性的方法,这体现了网络管理员对底层设备的掌控能力。
-
登录 USG CLI:
- 使用 SSH 客户端(如 PuTTY, Terminal, SecureCRT)连接到 USG 的管理 IP 地址。
- 使用具有管理员权限的账户登录(默认用户名/密码通常为
ubnt/ubnt,但强烈建议在部署时更改)。
-
核心查看命令:
-
show port-forward status- 作用: 显示当前正在生效的端口转发规则及其实时状态(如命中计数器),这是最常用、信息最实用的命令。
- 输出示例:
Rule # Proto Ext Port Int Addr Int Port Hit Count ------ ----- -------- --------- -------- --------- 1 tcp 8080 192.168.1.10 80 123 2 udp 10000-20000 192.168.1.20 10000-20000 45 3 tcp/udp 25565 192.168.1.30 25565 789 - 字段解释:
Rule #: 规则序号(内部标识)。Proto: 使用的协议(tcp, udp, 或 tcp/udp)。Ext Port: 外部(WAN)端口或端口范围。Int Addr: 内部目标服务器的 IP 地址。Int Port: 内部目标服务器的端口或端口范围。Hit Count: 该规则被匹配成功的次数(非常有用的诊断信息)。
-
show configuration commands | include port-forward- 作用: 显示配置文件中所有与
port-forward相关的命令,这等同于查看生成当前端口转发规则的具体配置语句。 - 输出示例:
set port-forward rule 1 description 'Web Server Redirect' set port-forward rule 1 forward-to-address 192.168.1.10 set port-forward rule 1 original-port 8080 set port-forward rule 1 protocol tcp set port-forward rule 1 translated-port 80 ... (其他规则类似) - 优势: 清晰展示规则的完整配置细节,包括描述(description)等可选信息,方便理解规则意图,这代表了配置的原始来源。
- 作用: 显示配置文件中所有与
-
图形化界面查看:UniFi Controller
对于日常查看和基本管理,UniFi Controller 提供了用户友好的界面:
- 登录 UniFi Controller: 打开您的 UniFi Controller Web 管理界面。
- 导航路径:
- 进入 “设置” (Settings)。
- 在左侧菜单中,选择 “高级功能” (Advanced Features)。
- 点击 “端口转发” (Port Forwarding)。
-
- 这里会以列表形式展示所有在 Controller 中配置的端口转发规则。
- 显示的信息通常包括:规则名称(描述)、协议、外部端口、内部IP地址、内部端口、是否启用。
- 您可以在此界面进行规则的添加、编辑、删除、启用/禁用操作。
关键见解与专业建议:
-
CLI vs GUI 的选择:
- 诊断与深度验证: 当服务不通需要排查时,
show port-forward status的Hit Count是黄金指标,如果计数器为0,说明流量根本没到达USG的这条规则(可能是源IP问题、外部端口未开放、或路由问题),此时GUI无法提供此关键信息。优先使用CLI进行专业级验证和故障排除。 - 日常管理与可视化: 对于规则的增删改查、查看基本配置,GUI更加直观便捷。两者结合使用是最高效的方式。
- 诊断与深度验证: 当服务不通需要排查时,
-
安全优先原则:
- 最小化暴露: 仅转发必要的端口到必要的内部服务器,每开放一个端口都是一个潜在的风险点。
- 强访问控制: 务必在端口转发规则中配置 “源 IP 限制” (Source IP Restriction),只允许特定的、可信的源IP地址(例如您的办公网络IP、合作伙伴IP)访问这些转发端口,避免对所有互联网来源 (
0.0.0/0) 开放敏感服务,这是抵御扫描和攻击的关键防线。在GUI配置规则时,“源”字段务必谨慎填写,CLI中对应set port-forward rule X source address命令。 - 非标准端口: 对于常见服务(如SSH的22端口、RDP的3389端口),考虑转发到非标准外部端口,减少被自动化脚本扫描命中的概率。
- 内部主机安全: 被转发的内部服务器必须及时打补丁、使用强密码/密钥认证、并部署主机防火墙,防火墙的端口转发不是内部主机安全的替代品。
-
常见问题排查思路:
- 服务不通:
- 检查
Hit Count: 在CLI用show port-forward status,0次命中?检查外部访问源是否在源IP限制范围内(如有)、外部端口是否正确、USG的WAN口是否可达。 - 检查规则状态: 在GUI或CLI (
show configuration commands | include port-forward) 确认规则是否已启用 (enable),新配置后可能需要commit和save。 - 检查内部服务: 确认目标内部服务器IP和端口是否正确,且该服务器上的服务正在运行并能在内部网络正常访问。
- 检查USG防火墙策略: 确保没有其他防火墙规则(如WAN IN或LAN OUT规则)阻止了转发后的流量。
show firewall statistics可能有帮助。 - 检查NAT环路/Hairpin NAT: 如果尝试从内部网络通过公网IP访问映射的服务,需要USG支持并正确配置Hairpin NAT(通常在Controller的“设置”>“网络”>编辑LAN网络>“高级”中启用“NAT回环”)。
- 检查
- 端口冲突: 确保没有多个规则映射了相同的协议和外部端口。
- 服务不通:
熟练掌握 USG 防火墙端口映射的查看方法(特别是 CLI 命令 show port-forward status 和 show configuration commands | include port-forward),是网络管理员维护服务可用性和网络安全性的基础技能,图形化界面(UniFi Controller)提供了便捷的管理入口。真正的专业性和权威性体现在理解底层配置、善用CLI进行深度诊断、并始终贯彻“最小暴露、严格访问控制”的安全原则。 端口转发是一把双刃剑,便利性与安全性需要精细的平衡。
您在使用 USG 端口映射时遇到过哪些挑战?是 Hit Count 的解读、源IP限制的配置,还是 Hairpin NAT 的问题?欢迎在评论区分享您的经验和疑问,共同探讨 USG 防火墙的最佳实践!
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/6707.html
评论列表(3条)
读了这篇文章,我深有感触。作者对端口转发的理解非常深刻,论述也很有逻辑性。内容既有理论深度,又有实践指导意义,确实是一篇值得细细品味的好文章。希望作者能继续创作更多优秀的作品!
@brave326love:这篇文章的内容非常有价值,我从中学习到了很多新的知识和观点。作者的写作风格简洁明了,却又不失深度,让人读起来很舒服。特别是端口转发部分,给了我很多新的思路。感谢分享这么好的内容!
读了这篇文章,我深有感触。作者对端口转发的理解非常深刻,论述也很有逻辑性。内容既有理论深度,又有实践指导意义,确实是一篇值得细细品味的好文章。希望作者能继续创作更多优秀的作品!