概述
端口映射其实就是常说的NAT地址转换的一种,其功能就是把在公网的地址转翻译成私有地址, 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网。
基本介绍
端口映射(Port Mapping):
很多客户每天都问为什么要端口映射?例如:通过路由器上网的,网站自己可以访问,但是别人就不能;输入127.0.0.1可以访问,别人还是看不到;输入localhost可以看到,但是别人就是看不到,只有进行端口映射了
(路由器端口映射--本教程适合所有TPLINK-TLR-402系列路由器下架设的网站服务器、邮件服务器、私服服务器、监控服务器、远程服务器、管家婆金蝶等财务管理服务器、VPN、ERP、ftp服务器等等的端口映射方法)
第一步:首先,简单介绍什么叫端口映射:
端口映射又叫端口转发,又叫虚服务器,各个品牌路由器不同,叫法不一样。但操作是一样的。
简单通俗的解释:
端口映射过程就如同:你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌,所以你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象比喻,
下面就是术语性解释:
在网络技术中,端口(英文Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
这里所说的端口,不是计算机硬件的I/O进出端口,而是软件形式上的概念。
服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。
为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。
这里所指的端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口。
端口映射:内网的一台电脑要上因特网对外开放服务或接收数据,都需要端口映射。
端口映射分为动态和静态。动态端口映射:内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。
然后再把数据发给新浪网,新浪网收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。
动态端口映射其实也就是NAT网关的工作方式。
静态端口映射:就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。
使用方法
端口映射
首先,简单介绍什么叫端口映射:
端口映射又叫端口转发,又叫虚拟服务器,各个品牌路由器不同,叫法不一样。
端口映射过程
端口映射过程就如同:你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌,所以你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象比喻。
下面介绍下端口映射中所用到的专业术语。
在网络技术中,端口(英文Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
我们这里所说的端口,不是计算机硬件的I/O进出端口,而是软件形式上的概念。
服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。
为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。我们这里所指的端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口。
端口映射
内网的一台电脑要上因特网对外开放服务或接收数据,都需要端口映射。
端口映射分为动态和静态。动态端口映射:内网中的一台电脑要访问网站,会向NAT网关发送数据包,包头中包括对方网站IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。然后再把数据发给网站,网站收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。
动态端口映射其实也就是NAT网关的工作方式。
静态端口映射:就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一台电脑。
实用效果
概述
首先,我们将VIdcs.exe传到公网IP上,在公网计算机上运行vidcs –p端口,如vdics –p5205。
这句话的意思是在公网计算机上监听端口 5205 然后回到内网计算机上,直接点击运行vIDCs.exe。
解释一下上面的设置,VIDC服务IP,指运行了vidcs.exe进行监听了端口的IP地址,端口指是在公网上监听的端口,上面我监听的是5205端口,bindip指你要开放出去的内网的IP, Bind端口指你内网计算机需要开放的端口(FTP服务器端口为21, WEB 服务端口为80, mail服务端口25)。
映射端口指你想通过公网哪个端口提供服务。端口由你定,填好之后我们点“连接”,马上就到收到提示。Success to Connect(210.210.21.21、5205,ver、1.2),说明连接成功。继续点”bind”,同样会收到成功的提示。
这样,你的机子的80端口就开放出去了。 访问方法 http://公网ip:映射端口。
如 http://210.210.210.210:808
WinRoutePro的端口映射功能
WinRoute Pro是一个工作于NAT(网络地址翻译)方式的Internet共享软件。它本身自带了端口映射功能。
运行WinRoute Administration并登录,在主菜单上选择“Settings→ Advanced→Port Mapping”,出现端口映射的设置界面。端口映射条目的添加。 可以设置的选项包括协议、监听端口、端口类型(单一端口还是某个范围的连续端口)、目的主机、目的端口等。
路由器端口映射
在企业路由应用技术中,很多企业常常要用到端口映射来完成,路由器基本上都己经支持了端口映射,我们用TP路由器来举例如何使用端口映射功能,进入TPlink路由器,因为端口映射就是转发,所以到转发规则里面来设置,选择特殊应用程序,添加新条目,触发端口输入要转发的端口,比如需要映射21端口,那么就填写21,触发协议不要修改,ALL代表支持所有协议,开放端口同样输入我们需要转发的端口,填写21,开放协议同样不需要修改,选择ALL,状态选择生效,然后保存,到这里端口映射规则就全部添加完成了,下面就己经生效了。
防火墙端口映射示例
一、思科防火墙接口的基本配置:
enable
conf t
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 222.100.102.110 255.255.255.240
exit
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.36.50.97 255.255.255.224
exit
access-list outside-acl line 1 extended permit icmp any any
access-list inside-acl line 1 extended permit icmp any any
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 222.100.102.97 1 //静态路由
二、地址映射及端口映射:
global (outside) 1 interface //global命令关键词与nat结合使用,表示nat列表中的出口地址为global语句中的outside接口地址
nat (inside) 1 10.36.50.100 255.255.255.255 //此命令表示内网地址10.36.50.100通过outside接口地址222.100.102.110访问外部网络
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 80 //开启10.36.50.100访问外部www的权限
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 443 //开启10.36.50.100访问外部https的权限
以下是端口映射,利用outside接口地址222.100.102.110的端口代表内网地址10.36.50.99的端口,命令行中外部地址的端口与内
部地址的端口可以不相同:
static (inside,outside) tcp interface 80 10.36.50.99 80 netmask 255.255.255.255
static (inside,outside) tcp interface 443 10.36.50.99 443 netmask 255.255.255.255
static (inside,outside) tcp interface 5800 10.36.50.99 5800 netmask 255.255.255.255
static (inside,outside) tcp interface 5900 10.36.50.99 5900 netmask 255.255.255.255
由于使用了访问控制列表,所以要写入以下表项开启权限,使外部网络可以访问内部端口(只开通了外部访问内部):
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 80
说明:此例映射了内部端口80,443,5800,5900。
以下是静态地址映射及开通访问列表(只开通了外部访问内部):
static (inside,outside) 222.100.102.98 10.36.50.98 netmask 255.255.255.255
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 80
