由于公網(wǎng)IP資源越來越緊張，現(xiàn)在很多運營商給撥號上網(wǎng)的用戶只分配內(nèi)網(wǎng)IP地址，如下圖所示：

成都創(chuàng)新互聯(lián)公司專注于企業(yè)全網(wǎng)營銷推廣、網(wǎng)站重做改版、陸河網(wǎng)站定制設(shè)計、自適應品牌網(wǎng)站建設(shè)、H5頁面制作、商城建設(shè)、集團公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應式網(wǎng)頁設(shè)計等建站業(yè)務，價格優(yōu)惠性價比高，為陸河等各大城市提供網(wǎng)站開發(fā)制作服務。

這樣的運營商內(nèi)網(wǎng)IP是外網(wǎng)不可達的（即使用動態(tài)域名也不起作用）。而企業(yè)由于業(yè)務需要，比如虛擬局域網(wǎng)組網(wǎng)、辦公OA系統(tǒng)、ERP系統(tǒng)等，都需要有公網(wǎng)IP才可以實現(xiàn)。公網(wǎng)IP的解決，目前主要有三種方案：

1. 申請固定IP專線。穩(wěn)定且速度有保障，缺點是費用高。

2. 云方案。把業(yè)務主機都搬到云上，直接通過云主機來訪問。費用比較低，缺點是云主機不能本地維護，且搬遷工作量都不小。

3. 云主機+內(nèi)網(wǎng)穿透方案。通過云主機做跳板來實現(xiàn)內(nèi)網(wǎng)穿透，既可以復用現(xiàn)有的業(yè)務系統(tǒng)，又解決了公網(wǎng)IP的問題。第三種方案的成本是最低的，但是配置比較復雜。本文將對第三種方案做詳細介紹。

在沒有公網(wǎng)IP如何實現(xiàn)×××組網(wǎng)？一文中，我們介紹了虛擬局域網(wǎng)組網(wǎng)部分。我們要介紹的方案，分為兩個步驟：1). 本地局域網(wǎng)和云主機之間搭建虛擬局域網(wǎng)。2). 在云主機上配置內(nèi)網(wǎng)穿透的防火墻規(guī)則。具體步驟如下：

1. 搭建虛擬局域網(wǎng)

首先要在云主機上安裝虛擬局域網(wǎng)軟件，配置ca證書等，網(wǎng)絡上已經(jīng)有很多介紹，我就不再贅述了。下圖是最終的server端config文件。

然后是客戶端配置。在WSG的客戶端中，配置上云主機的IP和端口、用戶名密碼等信息。即可成功組網(wǎng)。如圖：

2. 內(nèi)網(wǎng)穿透的防火墻規(guī)則

組建虛擬局域網(wǎng)后，本地局域網(wǎng)就和云主機處于同一個局域網(wǎng)內(nèi)。我們再通過iptables配置一些防火墻規(guī)則，就可以把外網(wǎng)訪問重定向到局域網(wǎng)內(nèi)部；原理和端口映射是一樣的。命令如下：

每一條內(nèi)網(wǎng)穿透（端口映射）都由兩條iptables命令組成：

1. DNAT：iptables -t nat -A PREROUTING -p tcp --dport xx -j DNAT --to-dest x.x.x.x

2. SNAT：iptables -t nat -A POSTROUTING -d x.x.x.x -p tcp --dport xx -j SNAT --to-source y.y.y.y

其中，x.x.x.x是局域網(wǎng)內(nèi)網(wǎng)主機的IP地址，y.y.y.y是云主機的內(nèi)網(wǎng)網(wǎng)段IP。

經(jīng)過上述配置后，直接訪問云主機的對應端口就可以穿透到內(nèi)網(wǎng)。該方案是由iptables做數(shù)據(jù)包轉(zhuǎn)發(fā)，不需要保持連接做反向代理，穩(wěn)定性和速度都比frp之類的反向代理要好的多。要實現(xiàn)開機自動添加規(guī)則的話，只需要把這兩條iptables命令添加到/etc/rc.local文件中。