如何做端口映射
评书 单田芳A
由于公网 IP 地址有限,不少 ISP 都采用多个内网用户通过代理和网关路由 共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上 架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户 的内网 IP 和一个他们唯一共享上网的 IP 进 行映射!就象在局域网或网吧内一 样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部 的IP地址,怎么样把外网的IP映射成相应的内 网IP地址,这应该是内网的那 台代理服务器或网关路由器该做的事,对我们用私有 IP 地址的用户也就是说这 是我们的接入ISP服务商(中国电信、联通、网 通、铁通等)应该提供的服务, 因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先 得得到系统管理员的支持才能够实现。因为这一切的 设置必须在代理服务器上 做的。
2000 Server 的端口映射功能,除此之外 Winroute 要实现这一点,可以用 Windows Pro 也具有这样的功能,还有各种企业级的防火墙。而对于我们这些普 通用户,恐怕还是用 Windows 2000 Server最为方便。
先来介绍一下 NA T,NA T(网络地址转换)是一种将一个 IP 地址域映射到 另一个IP地 址域技术,从而为终端主机提供透明路由。NA T包括静态网络地址 转换、动态网络地址转换、网络地址及端口转换、
动态网络地址及端口转换、端 口映射等。 NA T 常用于私有地址域与公用地址域的转换以解决 IP 地址匮乏问 题。在防火墙上实现 NA T 后,可以隐藏受保护网络的内部拓扑结构,在一定程 度上提高网络的 安全性。如果反向NA T提供动态网络地址及端口转换功能,还 可以实现负载均衡等功能。
端口映射功能可以让内部网络中某台机器对外部提供 WWW 服务,这不是 将真IP地址直接转到内部提供 WWW服务的主机, 如果这样的话, 有二个蔽端, 一是内部 机器不安全,因为除了 WWW之外,外部网络可以通过地址转换功能 访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同 样多的 IP 地址 进行转换,从而达不到节省 IP 地址的目的。端口映射功能是将 一台主机的假 IP 地址映射成一个真 IP 地 址,当用户访问提供映射端口主机的 某个端口时,服务器将请求转到内部一主机的提供这种特定服务的主机;利用端 口映射功能还可以将一台真 IP 地址机器的多个 端口映射成内部不同机器上的 不同端口。端口映射功能还可以完成一些特定代理功能, 比如代理POP, SMTP, TELNET等协议。理论上可以提供六万多个端口的映射,恐怕我们永远都用不完 的。
一、下面来介绍一下通过NA T共享上网和利用NA T来实现端口映射。
林正英图片1、 在 Windows 2000 Server上, 从管理工具中进入"路由和远程访问" (Routing and Remote Access)服务,在服务器上鼠标右击,-》"配置并启用路由和远程访问"
2、点"下一步"
韩国经典三级3、选"Internet 连接服务器",让内网主机可以通过这台服务器访问Internet.
(最好先配置好 NA T 共享,让内网主机可以正常上网,不然的话,配好端口映 射后再来配置NA T共享就有点麻烦了,弄的不好NA T还共享不了。)
4、选"设置有网络地址转换(NA T)路由协议的路由器",不要选"设置 Internet 连接共享(ICS)".(ICS 与 NA T 的区别在于使用的容易程度上,为了启用 ICS,只 需要选择一个复选框就可以了,而为了启用 NA T,则需要更多的配置任务,此 外,ICS用于小型网络上的原因还在于:针对内部主机,它需要有一个固定的IP 地址范围;针对与外部网络的通信,它被限制在单个公共 IP 地址上;它只允许 单个内部网络接口。)
5、先在此说一下我的网络情况:
五一劳动节祝福短语Internet 连接192.200.200.3(也是个内部地址,没办法,铁通的网络不太好,网速 不快,价钱又贵,我的命真苦啊)
其中一台上装了Sambar 宿舍内连接192.168.0.1 (宿舍里连有局域网,
共4台电脑,
5.1b5做的 Web服务器,Web端口是80,待会就从外网(用192.200.200.55来替 代)来访问这个192.168.0.2:80上的网页)
这台 NA T 主机上开通了 IIS 5.0,端口是 80,用端口映射的办法把 8081 端口映 射到内部主机192.168.0.2的80端口上。
6、在"路由和远程访问服务器安装向导"中选"Internet 连接"(就是连向 Internet 的那个连接),点"下一步"。
7、选"完成"
萧敬腾和杨宗纬到此为止,NA T 共享设置也就完成了,内部的主机也能上网了。内部主机的网 络设置如下:
IP 地址范围是 192.168.0.2~192.168.0.254,子网掩码为 255.255.255.0,网关为 192.168.0.1,DNS为ISP给的地址,我们的是 x
二、利用NA T来映射端口
1、添加NA T协议。右击"常规",-》"新路由选择协议"
2、在"新路由选择协议"中选择"网络地址转换(NA T)",点击"确定"
3、这样在"IP路由选择"中就多了一项"网络地址转换(NA T)"
4、右击"网络地址转换(NA T)",添加"新接口"
5、 在"网络地址转换 (NA T) 的新接口"中选择"Internet 连接" (也就是连向Internet 的那个连接,可不要选错咯)
6、在"网络地址转换Internet 连接属性"中选中"公用接口连接到 Internet",复选" 转换TCP/UDP头(推荐)"
7、在"地址池"选项表里添加你需要提供端口重定向的起始地址与结束地址.
就是你要拿出来搞端口映射的所有IP地址,一般情况下我们就一个IP地址,所 以可以不用"地址池"不同之处后面再讲。这里假设有 8 个地址,设置如下: 添 好后是这样的:
8、在"特殊端口"选项表里提供了你需要定向的数据连接协议(是TCP还是 UDP 协议,如 Web和 FTP就是TCP协议的),选准后"添加"
9、"添加特殊端口",这里就是设置端口映射的核心了,把NA T主机的哪个端口 映射到内网主机的哪个端口就在这里设置,由于设有"地址池",所以 可以在"公 网地址"中添上"地址池"中的任一地址,这
里添的是"192.200.200.3",也就是我的 地址,如果你在前面没有设置"地址池",那么在 这个选项页中"在此地址池项" 为灰不可选,你只能选"在此接口",也就是你只有一个公网 IP 地址,这比较 适合只有一个IP的朋友,可以不用"地址池", 何必做多余的设置呢?假如有问 题的话,还不是自麻烦。 "传入端口"就是别人从网外访问有公网 IP 的 NA T 服务器的端口,这里设的为8080。
"专用地址和传出地址"就是内部主机的 IP 地址和提供的端口,这里是 把192.200.200.3上的8080端口映射到192.168.0.2上的80端口。
这就是TCP协议端口的重定向,至于UDP的定向页差不多。
四、测试结果
在 192.200.200.55 出测试了一下 NA T 主机上的 Web服务器和内网中 192.168.0.2 上建的 Web 服务器,得出结果如下:(不好意思,中间改过一下端口号, 192.200.200.3上的8081端口映射到192.168.0.2的80端口).
B
端口映射(Port Mapping/Port Forwarding)有点类似服务重定向, 所以有 些路由器(Router)中也称为虚拟服务器(Virtual Server)。 为了描述方便, 下 面的叙述中统一称为[端口映射]。 采用端口映射的方
法,可以实现从Internet 到局域网内部机器的特定端口服务的访问。
端口映射的实现方式可以分为纯软件和软硬结合方式。 以纯软件方式实现 端口映射功能软件有很多, 比如, MS Windows9x/200/XP 下的PortTunnel 专门 针对 HTTP、FTP、SMTP 服务的端口映射,提供了较多的参数设置,在相应的标 签菜单下调整。又如各种版本的 Linux 操作系统本身就支持端口映射, 只需要 网络管理员做相应的设置和调整即可实现。 而以软硬结合方式实现端口映射功 能的, 主要常见于各种路由器(提供网关路由功能) 。
下面主要介绍各种路由器(Router)中如何实现端口映射
一般路由器中有个端口映射(Port Mapping)或者虚拟服务器(Virtual Server)的设置。用户需要在路由器(Router)的“管理界面”中相应的端口映射 界面中, 设置好相应的需要映射的端口, 协议内网地址等, 才能生效。 设置的方
法可能会因为路由器(Router)不同的品牌和型号,在设置的方法上也会有所不 同。端口映射支持的网络协议有 TCP/UDP/两者, 所以进行端口映射设置时, 如 果不熟悉, 可以选择两者都支持。
举例说明:
以某路由器(Router)为例,在启用其路由功能之后,网络拓扑图如下:
这里假定路由器(Router)默认 IP 内网地址为 192.168.1.1,内网中电脑一般可 以设置成为 192.168.1.X(X=2~254),在内网中某一台电脑上打开 IE,在地址 栏输入 192.168.1.1,输入初始用户名、密码之后就可以看到设置界面 了。针对邮件服务器要做如下设置:进入“端口映射”,在端口填入 25, 协议 中选择:TCP, IP地址:192.168.1.x(x 为安装邮件服务器电脑的局域网IP 地 址),同样方法设置 110(pop3),6080(webmail)端口等。 以上假定用户内网段 地址为: 192.168.1.0。 设置好后, 就实现了端口映射功能了, 发往路由器的邮 件就会自动转发到指定的内网主机上(192.168.1.x)。
同样, 如果想设置特殊端口, 比如: 6000。 在端口填入 6000, 协议中选 择: ALL(或根据具体情况选择), IP 地址:192.168.1.x(x 为内网段地址 1~254)。 设置好后, 发往路由器 6000 端口的任何数据就会自动转发到主机 192.168.1.x 的端口6000 上了。
以上说明没有针对具体路由器。 具体情况, 请查阅您的路由器说明书,看 看如何作端口映射。
C
一、设置端口映射电磁炉的维修
在IE地址栏中输入“192.168.1.1”并“回车”, 在弹出的登录对话框中输入默 认管理用户名和密码“root”进入管理界面。 并在管理界面左侧的菜单栏中选择 “Basic Config→PAT”, 进入端口映射配置对话框。 在该对话框中, 点击“Add” 按钮添加新的映射项目。
1.在“Protocol”(协议)栏中,我们可以选择两种协议:TCP和UDP。由于Web 服务和FTP服务均采用TCP/IP协议,因此保留默认设置TCP。
2.在“Interface” (接口类型) 栏中, 默认值为“LAN”, 我们还可以选择ATM1、 ATM2,一直到ATM8。在此我们选择ATM1(千万不要选择LAN,否则映射无法成 功)。
3.“Service Name”是用来标示该映射的类别的,可以任意输入,例如要配置 FTP映射时就输入“ftp”。
4.在“Port Number”(端口号)栏中,填写ADSL MODEM为各种服务开启的端口, 建议采用各种服务的默认端口,例如要映射FTP服务,就直接输入21端口。这 样可以方便访问者的访问。如果不采用各种服务的默认端口,则访问者必须采用
IP地址+端口号的形式来对发布出去的服务进行访问。假设现在ADSL MODEM的 公有IP地址为218.70.130.155,但为FTP服务开启的端口不是21,而是8021, 则来自Internet的访问者必须通过“FTP://218.70.130.155:8021”来访问该 FTP服务。
5.“Server IP Address”是指架设服务器的计算机的私有IP地址。本例中,FTP 服务器和Web服务器的IP地址即为192.168.10.111。
6.“Server Port Number”指的是服务器为自己的服务开启的端口,本例中FTP 服务器和Web服务器都
采用了各自对应的默认端口:21和80
映射项目添加完毕后,点击“Finish”按钮完成设置。然后选择左侧菜单栏中的 “Save & Restart”,在弹出的对话框中先点击“Save”按钮保存设置,然后点 击“Restart”按钮重新启动ADSL MODEM(注意:一定要按照这个顺序来!否则 刚才进行的配置不会被保存)。
ADSL MODEM重启完毕后,Internet用户就可以直接通过ADSL MODEM的公有IP 地址访问“内部”的计算机架设的各种服务了。
二、字符界面管理方式
前提:
Prestige 642R的出厂默认IP地址为192.168.1.1,假设我们已启用了它的路由 功能 (路由功能的具体配置过程请参见 《电脑报》 第35期F5版 《路由ADSL Modem 组网共享》一文),并已接入Internet。同时,共享该路由上网的计算机的IP 地址为192.168.1.2和192.168.1.3,前者架设了Web服务器,采用默认的Web 服务端口80;而后者架设了FTP服务器,采用的是默认FTP服务端口21。
配置过程
1.在与ADSL MODEM相连的任意一台计算机(如19
2.168.1.2这台计算机)的系 统桌面上进入“开始》运行”,输入“telnet 192.168.1.1”命令并执行,在密 码提示框中输入出厂默认密码1234后进入MODEM的主管理界面(图2)。
2.在该管理界面下,输入“15”进入“Advanced Applications”(高级应用) 的“SUA Server Setup”对话框,这里就是合勤Prestige 642R的端口映射设置 界面了。
3.我们共可以设置8个端口映射项目。设置非常简单,首先把光标移到某个空白 项目上,然后在左侧填写内网服务器提供的服务端口号,而右侧则填写内网服务
发布评论