概述
端口映射其實就是常說的NAT地址轉換的一種,其功能就是把在公網的地址轉翻譯成私有地址, 采用路由方式的ADSL寬帶路由器擁有一個動态或固定的公網IP,ADSL直接接在HUB或交換機上,所有的電腦共享上網。
基本介紹
端口映射(Port Mapping):
很多客戶每天都問為什麼要端口映射?例如:通過路由器上網的,網站自己可以訪問,但是别人就不能;輸入127.0.0.1可以訪問,别人還是看不到;輸入localhost可以看到,但是别人就是看不到,隻有進行端口映射了
(路由器端口映射--本教程适合所有TPLINK-TLR-402系列路由器下架設的網站服務器、郵件服務器、私服服務器、監控服務器、遠程服務器、管家婆金蝶等财務管理服務器、VPN、ERP、ftp服務器等等的端口映射方法)
第一步:首先,簡單介紹什麼叫端口映射:
端口映射又叫端口轉發,又叫虛服務器,各個品牌路由器不同,叫法不一樣。但操作是一樣的。
簡單通俗的解釋:
端口映射過程就如同:你家在一個小區裡B棟2410室,你朋友來找你,找到小區門口,不知道你住哪層哪号?就問守門的保安,保安很客氣的告訴了他你家詳細門牌,所以你朋友很輕松的找到了你家。這個過程就是外網訪問内網通過端口映射的形象比喻,
下面就是術語性解釋:
在網絡技術中,端口(英文Port)有好幾種意思。集線器、交換機、路由器的端口指的是連接其他網絡設備的接口,如RJ-45端口、Serial端口等。
這裡所說的端口,不是計算機硬件的I/O進出端口,而是軟件形式上的概念。
服務器可以向外提供多種服務,比如,一台服務器可以同時是WEB服務器,也可以是FTP服務器,同時,它也可以是郵件服務器。
為什麼一台服務器可以同時提供那麼多的服務呢?其中一個很主要的方面,就是各種服務采用不同的端口分别提供不同的服務,比如:WEB采用80端口,FTP采用21端口等。這樣,通過不同端口,計算機與外界進行互不幹擾的通信。
這裡所指的端口不是指物理意義上的端口,而是特指TCP/IP協議中的端口,是邏輯意義上的端口。
端口映射:内網的一台電腦要上因特網對外開放服務或接收數據,都需要端口映射。
端口映射分為動态和靜态。動态端口映射:内網中的一台電腦要訪問新浪網,會向NAT網關發送數據包,包頭中包括對方(就是新浪網)IP、端口和本機IP、端口,NAT網關會把本機IP、端口替換成自己的公網IP、一個未使用的端口,并且會記下這個映射關系,為以後轉發數據包使用。
然後再把數據發給新浪網,新浪網收到數據後做出反應,發送數據到NAT網關的那個未使用的端口,然後NAT網關将數據轉發給内網中的那台電腦,實現内網和公網的通訊.當連接關閉時,NAT網關會釋放分配給這條連接的端口,以便以後的連接可以繼續使用。
動态端口映射其實也就是NAT網關的工作方式。
靜态端口映射:就是在NAT網關上開放一個固定的端口,然後設定此端口收到的數據要轉發給内網哪個IP和端口,不管有沒有連接,這個映射關系都會一直存在。就可以讓公網主動訪問内網的一個電腦。
使用方法
端口映射
首先,簡單介紹什麼叫端口映射:
端口映射又叫端口轉發,又叫虛拟服務器,各個品牌路由器不同,叫法不一樣。
端口映射過程
端口映射過程就如同:你家在一個小區裡B棟2410室,你朋友來找你,找到小區門口,不知道你住哪層哪号?就問守門的保安,保安很客氣的告訴了他你家詳細門牌,所以你朋友很輕松的找到了你家。這個過程就是外網訪問内網通過端口映射的形象比喻。
下面介紹下端口映射中所用到的專業術語。
在網絡技術中,端口(英文Port)有好幾種意思。集線器、交換機、路由器的端口指的是連接其他網絡設備的接口,如RJ-45端口、Serial端口等。
我們這裡所說的端口,不是計算機硬件的I/O進出端口,而是軟件形式上的概念。
服務器可以向外提供多種服務,比如,一台服務器可以同時是WEB服務器,也可以是FTP服務器,同時,它也可以是郵件服務器。
為什麼一台服務器可以同時提供那麼多的服務呢?其中一個很主要的方面,就是各種服務采用不同的端口分别提供不同的服務,比如:WEB采用80端口,FTP采用21端口等。這樣,通過不同端口,計算機與外界進行互不幹擾的通信。我們這裡所指的端口不是指物理意義上的端口,而是特指TCP/IP協議中的端口,是邏輯意義上的端口。
端口映射
内網的一台電腦要上因特網對外開放服務或接收數據,都需要端口映射。
端口映射分為動态和靜态。動态端口映射:内網中的一台電腦要訪問網站,會向NAT網關發送數據包,包頭中包括對方網站IP、端口和本機IP、端口,NAT網關會把本機IP、端口替換成自己的公網IP、一個未使用的端口,并且會記下這個映射關系,為以後轉發數據包使用。然後再把數據發給網站,網站收到數據後做出反應,發送數據到NAT網關的那個未使用的端口,然後NAT網關将數據轉發給内網中的那台電腦,實現内網和公網的通訊.當連接關閉時,NAT網關會釋放分配給這條連接的端口,以便以後的連接可以繼續使用。
動态端口映射其實也就是NAT網關的工作方式。
靜态端口映射:就是在NAT網關上開放一個固定的端口,然後設定此端口收到的數據要轉發給内網哪個IP和端口,不管有沒有連接,這個映射關系都會一直存在。就可以讓公網主動訪問内網的一台電腦。
實用效果
概述
首先,我們将vidcs.exe傳到公網IP上,在公網計算機上運行vidcs –p端口,如vdics –p5205。
這句話的意思是在公網計算機上監聽端口 5205 然後回到内網計算機上,直接點擊運行vIDCs.exe。
解釋一下上面的設置,VIDC服務IP,指運行了vidcs.exe進行監聽了端口的IP地址,端口指是在公網上監聽的端口,上面我監聽的是5205端口,bindip指你要開放出去的内網的IP, Bind端口指你内網計算機需要開放的端口(FTP服務器端口為21, WEB 服務端口為80, mail服務端口25)。
映射端口指你想通過公網哪個端口提供服務。端口由你定,填好之後我們點“連接”,馬上就到收到提示。Success to Connect(210.210.21.21、5205,ver、1.2),說明連接成功。繼續點”bind”,同樣會收到成功的提示。
這樣,你的機子的80端口就開放出去了。 訪問方法 http://公網ip:映射端口。
如 http://210.210.210.210:808
WinRoutePro的端口映射功能
WinRoute Pro是一個工作于NAT(網絡地址翻譯)方式的Internet共享軟件。它本身自帶了端口映射功能。
運行WinRoute Administration并登錄,在主菜單上選擇“Settings→ Advanced→Port Mapping”,出現端口映射的設置界面。端口映射條目的添加。 可以設置的選項包括協議、監聽端口、端口類型(單一端口還是某個範圍的連續端口)、目的主機、目的端口等。
路由器端口映射
在企業路由應用技術中,很多企業常常要用到端口映射來完成,路由器基本上都己經支持了端口映射,我們用TP路由器來舉例如何使用端口映射功能,進入TPlink路由器,因為端口映射就是轉發,所以到轉發規則裡面來設置,選擇特殊應用程序,添加新條目,觸發端口輸入要轉發的端口,比如需要映射21端口,那麼就填寫21,觸發協議不要修改,ALL代表支持所有協議,開放端口同樣輸入我們需要轉發的端口,填寫21,開放協議同樣不需要修改,選擇ALL,狀态選擇生效,然後保存,到這裡端口映射規則就全部添加完成了,下面就己經生效了。
防火牆端口映射示例
一、思科防火牆接口的基本配置:
enable
conf t
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 222.100.102.110 255.255.255.240
exit
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.36.50.97 255.255.255.224
exit
access-list outside-acl line 1 extended permit icmp any any
access-list inside-acl line 1 extended permit icmp any any
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 222.100.102.97 1 //靜态路由
二、地址映射及端口映射:
global (outside) 1 interface //global命令關鍵詞與nat結合使用,表示nat列表中的出口地址為global語句中的outside接口地址
nat (inside) 1 10.36.50.100 255.255.255.255 //此命令表示内網地址10.36.50.100通過outside接口地址222.100.102.110訪問外部網絡
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 80 //開啟10.36.50.100訪問外部www的權限
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 443 //開啟10.36.50.100訪問外部https的權限
以下是端口映射,利用outside接口地址222.100.102.110的端口代表内網地址10.36.50.99的端口,命令行中外部地址的端口與内
部地址的端口可以不相同:
static (inside,outside) tcp interface 80 10.36.50.99 80 netmask 255.255.255.255
static (inside,outside) tcp interface 443 10.36.50.99 443 netmask 255.255.255.255
static (inside,outside) tcp interface 5800 10.36.50.99 5800 netmask 255.255.255.255
static (inside,outside) tcp interface 5900 10.36.50.99 5900 netmask 255.255.255.255
由于使用了訪問控制列表,所以要寫入以下表項開啟權限,使外部網絡可以訪問内部端口(隻開通了外部訪問内部):
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 80
說明:此例映射了内部端口80,443,5800,5900。
以下是靜态地址映射及開通訪問列表(隻開通了外部訪問内部):
static (inside,outside) 222.100.102.98 10.36.50.98 netmask 255.255.255.255
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 80
