guide.it168/files/19543/19543.htmtech.china/zh_cn/netschool/net/167716/20070924/14361984.htmll
端口映射
开放分类: 网络
端口映射(Port Mapping):
通常情况下,路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口),而访问不到内部服务器。要想让互联网用户访问到你建的服务器,就要在路由器上做一个转发设置,也就是端口映射设置,让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。这就是端口映射。由于各个路由
其实做端口映射设置很简单,例如要映射一台内网IP地址为有哪些好看的韩剧192.168.0.66的WEB服务器,只需把WEB服务器的IP地址192.168.0.66和TCP端口80填入到路由器的端口映射表中就OK了。
关于打开端口映射后的安全问题:
设置了端口映射后,互联网用户能够通过设置好映射的端口,跳过路由器防火墙访问到你的服务器,在通过攻击你服务器上的漏洞控制你的主机,所以打开端口映射后有必要在你的服务器上再挂一个防火墙也确保安全性。
华为H3C ER3260 说明书|使用手册
系统服务
在系统服务中,您可以设置:
1 虚拟服务器,设置内部服务器提供给因特网用户访问。
2 dmz(demilitarized zone,非管制区),dmz 的主机,实际就是缺省的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成dmz主机。
3 端口触发,可以实现er3000 系列根据局域网访问因特网的端口来自动开放向内的服务端口。
4 alg(application layer gateway,应用层网关)应用,对某些需要alg 处理的协议,可以启用或禁用er3000 系列的alg 功能。
5 动态域名,用于把er3000 系列的wan 口的ip 与申请的动态域名建立对应关系,当wan 口ip 地址变化时,因特网用户也能方便地通过域名来访问虚拟服务器。
2 dmz(demilitarized zone,非管制区),dmz 的主机,实际就是缺省的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成dmz主机。
3 端口触发,可以实现er3000 系列根据局域网访问因特网的端口来自动开放向内的服务端口。
4 alg(application layer gateway,应用层网关)应用,对某些需要alg 处理的协议,可以启用或禁用er3000 系列的alg 功能。
5 动态域名,用于把er3000 系列的wan 口的ip 与申请的动态域名建立对应关系,当wan 口ip 地址变化时,因特网用户也能方便地通过域名来访问虚拟服务器。
设置DMZ主机
dmz 主机实际上就是一个缺省的虚拟服务器,优先级低于虚拟服务器。
如果er3000 系列收到一个来自外部网络的连接请求时,它将首先根据外部请求的服务端口号,查虚拟服务列表,检查是否有匹配的映射表项:
1 如果有匹配的表项,就把请求消息发送到该表项对应的虚拟服务器上去;
2 如果没有查到匹配的表项,检查是否有匹配的dmz主机,如果dmz主机存在,就把请求消息全都转发到dmz主机上去,否则丢弃。
1 启用dmz功能之后,dmz主机就等于暴露在了因特网中,安全性降低。
2 访问dmz主机的端口号应与dmz实际开启的服务端口号一样。
图5-18 dmz
界面项描述如下:
表5-10 dmz
如果er3000 系列收到一个来自外部网络的连接请求时,它将首先根据外部请求的服务端口号,查虚拟服务列表,检查是否有匹配的映射表项:
1 如果有匹配的表项,就把请求消息发送到该表项对应的虚拟服务器上去;
2 如果没有查到匹配的表项,检查是否有匹配的dmz主机,如果dmz主机存在,就把请求消息全都转发到dmz主机上去,否则丢弃。
1 启用dmz功能之后,dmz主机就等于暴露在了因特网中,安全性降低。
2 访问dmz主机的端口号应与dmz实际开启的服务端口号一样。
图5-18 dmz
界面项描述如下:
表5-10 dmz
设置虚拟服务器(端口映射)
系统服务→虚拟服务器
虚拟服务器也可称为端口映射。您可以通过设置虚拟服务器,实现让因特网用户访问局域网内部服务器提供的服务,比如web 服务、email 以及ftp等。
缺省情况下,为保证局域网的安全,er3000 系列会阻断从因特网主动发起的连接请求,因此,如果要使因特网用户能够访问局域网内的服务器,需要设置虚拟服务器。
虚拟服务器可以将赵盈wan 口ip 地址、外部端口号和局域网内服务器ip 地址、内部端口号建立映射关系,所有对该wan 口某服务端口的访问将会被重定向到指定的局域网内服务器的相应内部端口。
最多支持20 条虚拟服务器设置项。
图5-16 虚拟服务器
界面项描述如下:
表5-9 虚拟服务器
【举例】:某公司的内部局域网,通过er3000 系列连接因特网,局域网内有一台web 服务器(ip 地址为192.168.1.100,服务端口为80),客户端(因特网上用户或本公司局域网用户)需要通过8080 端口访问这台服务器的web 服务。
设置如下:
四级成绩怎么查 图5-17 虚拟服务器设置举例
设置完成后,只需在客户端浏览器中输入x:8080,就可以访问web 服务器(x 为er3000 系列当前的wan 口地址)了。
失踪人口讲的是什么故事 1 对于ftp、tftp 等需要使用alg 处理的虚拟服务器应用,需要启用对应的alg项。(设置路径:系统服务→alg 应用,具体配置请参考“5.4.4 设置alg 应用”)
2 客户端访问虚拟服务器的业务,如果需要做alg 处理,内部端口必须设置为标准端口号。例如:wan 侧客户端通过pasv 模式(被动ftp)访问局域网内的ftp 服务器,内部端口必须设置为21。
虚拟服务器也可称为端口映射。您可以通过设置虚拟服务器,实现让因特网用户访问局域网内部服务器提供的服务,比如web 服务、email 以及ftp等。
缺省情况下,为保证局域网的安全,er3000 系列会阻断从因特网主动发起的连接请求,因此,如果要使因特网用户能够访问局域网内的服务器,需要设置虚拟服务器。
虚拟服务器可以将赵盈wan 口ip 地址、外部端口号和局域网内服务器ip 地址、内部端口号建立映射关系,所有对该wan 口某服务端口的访问将会被重定向到指定的局域网内服务器的相应内部端口。
最多支持20 条虚拟服务器设置项。
图5-16 虚拟服务器
界面项描述如下:
表5-9 虚拟服务器
【举例】:某公司的内部局域网,通过er3000 系列连接因特网,局域网内有一台web 服务器(ip 地址为192.168.1.100,服务端口为80),客户端(因特网上用户或本公司局域网用户)需要通过8080 端口访问这台服务器的web 服务。
设置如下:
四级成绩怎么查 图5-17 虚拟服务器设置举例
设置完成后,只需在客户端浏览器中输入x:8080,就可以访问web 服务器(x 为er3000 系列当前的wan 口地址)了。
失踪人口讲的是什么故事 1 对于ftp、tftp 等需要使用alg 处理的虚拟服务器应用,需要启用对应的alg项。(设置路径:系统服务→alg 应用,具体配置请参考“5.4.4 设置alg 应用”)
2 客户端访问虚拟服务器的业务,如果需要做alg 处理,内部端口必须设置为标准端口号。例如:wan 侧客户端通过pasv 模式(被动ftp)访问局域网内的ftp 服务器,内部端口必须设置为21。
设置端口触发
系统服务→端口触发
局域网客户端访问因特网上服务器,对于某些应用,客户端向服务器主动发起连接的同时,也需要服务器向客户端主动发起连接请求,而缺省情况下er3000 系列收到wan 侧主动连接的请求都会拒绝,这样就会中断通信。通过定义端口触发规则,当客户端访问服务器触发此规则后,er3000 系列自动开放服务器需要向客户端请求的端口,这样可以保证通信正常。
客户端和er3000 系列没有数据交互一段时间后,er3000 系列自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。
1 端口触发最多支持20 条设置项。
2 各设置项中,触发端口、外来端口允许有重叠。
局域网客户端访问因特网上服务器,对于某些应用,客户端向服务器主动发起连接的同时,也需要服务器向客户端主动发起连接请求,而缺省情况下er3000 系列收到wan 侧主动连接的请求都会拒绝,这样就会中断通信。通过定义端口触发规则,当客户端访问服务器触发此规则后,er3000 系列自动开放服务器需要向客户端请求的端口,这样可以保证通信正常。
客户端和er3000 系列没有数据交互一段时间后,er3000 系列自动关闭之前对外开放的端口,既保证应用的正常使用,又能最大限度地保证局域网的安全。
1 端口触发最多支持20 条设置项。
2 各设置项中,触发端口、外来端口允许有重叠。
3 当局域网内计算机通过触发端口与外部网络建立连接,其相应的外来端口也将被打开,这时外部网络的计算机可以通过这些端口来访问局域网。
4 每个定义的端口触发只能同时被一台计算机所使用。如果有多台机器同时打开同一个“触发端口”,那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台计算机。
4 每个定义的端口触发只能同时被一台计算机所使用。如果有多台机器同时打开同一个“触发端口”,那么“外来端口”的连接只会被重定向到最后一次打开“触发端口”的那台计算机。
图5-19 端口触发
界面项描述如下:
表5-11 端口触发
表5-11 端口触发
设置ALG应用
系统服务→alg 应用
有些应用协议需要创建动态连接,创建动态连接所需的ip 地址和端口是在协议内容中动态描述的,而er3000 系列会拒绝wan 侧主动发起的连接,通过配置静态过滤规则无法允许这些动态连接的建立,所以需要启用alg 来解决,把协议中携带的地址和端口号改成nat 网关的ip 地址和空闲的端口号,并把对端传输过来的数据重定向到局域网内的设备。
针对需要做alg 的一些应用协议,er3000 系列进行了alg 处理,在使用时只需要设置启用即可。
缺省情况下,以下协议的alg 已经启用,建议保留缺省设置,不做修改。
有些应用协议需要创建动态连接,创建动态连接所需的ip 地址和端口是在协议内容中动态描述的,而er3000 系列会拒绝wan 侧主动发起的连接,通过配置静态过滤规则无法允许这些动态连接的建立,所以需要启用alg 来解决,把协议中携带的地址和端口号改成nat 网关的ip 地址和空闲的端口号,并把对端传输过来的数据重定向到局域网内的设备。
针对需要做alg 的一些应用协议,er3000 系列进行了alg 处理,在使用时只需要设置启用即可。
缺省情况下,以下协议的alg 已经启用,建议保留缺省设置,不做修改。
图5-20应用层网关
设置动态域名
系统服务→动态域名
由于通过pppoe 或动态获取ip 地址上网时,获取到的ip 地址不固定,这给想访问本局域网服务器的因特网用户带来很大的不便。ddns(dynamic domain name service,动态域名服务)可以解决这个问题。
er3000 系列在ddns 服务器上会建立一个ip 与域名(需要预先注册)的关系表,当wan 口ip 地址变化时,er3000 系列会自动向指定的ddns 服务器发起更新请求,ddns 服务器上更新域名与ip 地址的对应关系,无论er3000 系列的wan 口ip 地址如何改变,因特网上的用户仍可以通过域名对其进行访问。
ddns 功能是作为ddns 服务的客户端工具,需要与ddns 服务器协同工作。使用该功能之前,请先到 或ay(花生壳)去申请注册一个域名。
图5-21动态域名
界面项描述如下:
表5-12动态域名
周立波骂徐峥
【举例】:如果您已经在 上注册了域名姜育恒老婆,建立该域名与er3000系列的wan口ip地址之间动态对应关系的方法如下图。
图5-22 ddns举例
由于通过pppoe 或动态获取ip 地址上网时,获取到的ip 地址不固定,这给想访问本局域网服务器的因特网用户带来很大的不便。ddns(dynamic domain name service,动态域名服务)可以解决这个问题。
er3000 系列在ddns 服务器上会建立一个ip 与域名(需要预先注册)的关系表,当wan 口ip 地址变化时,er3000 系列会自动向指定的ddns 服务器发起更新请求,ddns 服务器上更新域名与ip 地址的对应关系,无论er3000 系列的wan 口ip 地址如何改变,因特网上的用户仍可以通过域名对其进行访问。
ddns 功能是作为ddns 服务的客户端工具,需要与ddns 服务器协同工作。使用该功能之前,请先到 或ay(花生壳)去申请注册一个域名。
图5-21动态域名
界面项描述如下:
表5-12动态域名
周立波骂徐峥
【举例】:如果您已经在 上注册了域名姜育恒老婆,建立该域名与er3000系列的wan口ip地址之间动态对应关系的方法如下图。
图5-22 ddns举例
发布评论