gsl371的专栏

NAT是 Network Address Translation 网络地址转换的缩写。NAT是将私有IP地址通过边界路由转换成外网IP地址，在边界路由的NAT地址转换表记录下这个转换映射记录，当外部数据返回时，路由使用NAT技术查询NAT转换表，再将目标地址替换成内网用户IP地址。RFC1918规定了三块专有的地址，作为私有的内部组网使用：A类：10.0.0.0—10.255.255.255 10.0.0.0/8。

非常重要，配置不正确，影响ipfire正常工作setup可以进入设置界面。

查看当前开了哪些端口其实一个服务对应一个端口，每个服务对应/usr/lib/firewalld/services下面一个xml文件。这样添加的service当前立刻生效，但系统下次启动就失效，可以测试使用。要永久开发一个service，加上 --permanent。centos7默认没有 netstat 命令，需要安装 net-tools 工具，yum install -y net-tools。如果要开放的端口太多，嫌麻烦，可以关闭防火墙，安全性自行评估。可以通过下面这个命令查看可以打开的服务有哪些。

4. 因为外网客户端在新建SSTP之前，必须要能够利用HTTP通信协议到ca服务器下载证书吊销列表（CRL），否则SSTP 连接会失败，然而此时外网客户端无法连接到内部网络的企业根ca，解决此问题的方法是在vpn接入服务器中启用NAT，然后通过端口影射实现外网客户端访问内部企业根ca网站，这样外网客户端就可以从企业根ca网站下载证书吊销列表。记住，一定要选择，证书颁发机构web注册，否则在申请证书的时候会出现问题，然后下一步，等待安装完成。查看nat服务器上使用的端口是443，sstp使用443端口。