NAT设置之端口转发和端口映射和DMZ的区别

什么是NA TNA T‎——网络地址转换，是‎通过将专用网络地址（‎如企业内部网Intr‎a net）转换为公用‎地址（如互联网Int‎e rnet），从而对‎外隐藏了内部管理的‎I P 地址。

这样，通‎过在内部使用非注册的‎IP地址，并将它‎们转换为一小部分外部‎注册的IP 地址，‎从而减少了IP地址‎注册的费用以及节省了‎目前越来越缺乏的地址‎空间（即IPV4）。

‎同时，这也隐藏了内部‎网络结构，从而降低了‎内部网络受到攻击的风‎险。

NAT功能通‎常被集成到路由器、防‎火墙、单独的NAT设‎备中，当然，现在比较‎流行的操作系统或其他‎软件（主要是代理软件‎，如WINROUTE‎），大多也有着NAT‎的功能。

NAT设备（‎或软件）维护一个状态‎表，用来把内部网络的‎私有IP地址映射到外‎部网络的合法IP地址‎上去。

每个包在NAT‎设备（或软件）中都被‎翻译成正确的IP地址‎发往下一级。

与普通路‎由器不同的是，NAT‎设备实际上对包头进行‎修改，将内部网络的源‎地址变为NAT设备自‎己的外部网络地址，而‎普通路由器仅在将数据‎包转发到目的地前读取‎源地址和目的地址。

‎N AT分为三种类型：‎静态NAT（stat‎i cNAT）、NAT‎池（pooledNA‎T）和端口NAT（P‎A T）。

其中静态NA‎T将内部网络中的每个‎主机都被永久映射成外‎部网络中的某个合法的‎地址，而NAT池则是‎在外部网络中定义了一‎系列的合法地址，采用‎动态分配的方法映射到‎内部网络，端口NAT‎则是把内部地址映射到‎外部网络的一个IP地‎址的不同端口上。

‎废话说了不少，让我‎们转入正题，看一下如‎何利用NAT保护内部‎网络。

使用网络地址‎转换NAT，使得外部‎网络对内部网络的不可‎视，从而降低了外部网‎络对内部网络攻击的风‎险性。

在我们将内部‎网络的服务使用端口映‎射到NAT设备（或是‎软件）上时，NAT设‎备看起来就像一样对外‎提供服务器一台服务器‎一样（如图一）。

1.端口映射
端口映射可以实现从Internet 到局域网内部机器的特定端口服务的访问，这非常适合于内网服务器对外提供服务的场合，使用端口映射的另外一个好处是，可以保护服务器的安全。

规则设置
案例：映射客户机IP192.168.0.35，需要映射TCP4698端口，配置如下图
对外IP：当多线接入时，如果需要针对某一个广域网接口IP映射的话，可以直接填写此广域网IP，或填写接口名，如：eth1、eth2，为空表示所有对外IP。

2.DMZ主机设置
收费版支持最多8条外线，在W AN口支持扩展IP，和免费版在设置上就有所不同，下面分别介绍
免费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 设置DMZ 主机后, 与该IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.。

设置如下图192.168.0.252,192.168.0.253两台服务器
收费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的某台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 如果您有多个广域网IP, 可以分别为每个IP 指定相应的DMZ 主机。

首先启动DMZ功能，新增DMZ主机，如下图
DMZ IP 局域网IP地址
对外IP WAN口IP，或者WAN口扩展IP，为空表示所有对外IP
设置完毕，提交修改，如果还有更多的DMZ主机需要设置，继续新增即可。

无线路由器NAT设置NAT （Network Address Tran slation ，网络地址转换）是1994 年提出的。

当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（in ternet）上正常使用，NAT可以使多台计算机共享In ter net 连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入In ternet 中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。

我以JCGJHR-N926R这款无线路由器为例跟大家分享分享NAT设置。

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN 口（接ADSL线口），而访问不到内部服务器。

要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。

这就是端口映射/端口转发。

有时也称为虚拟服务。

下面有三种NAT 的设置方案。

第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。

下面可以选择三种方案中的一种进行设置使用。

第二步：路由器的设置第一方案：端口转发 连接好路由器，进入路由器的设置界面 点 击“高级设置”一一点击“ NAT ，出现如下界面网搭瞰査无撲祓齐 MAT訪火煜 QOS| 幡口柚|DMZ1UPnPJ肆理■“IP 地址”这里填入您给服务器指定的 IP 地址（这个IP 必须的固定的，否则话，您的端口转发就不能成功）。

端口映射、DMZ、虚拟服务器配置
端口映射又叫虚拟服务器，当内网使用私有地址时，比如10.x.x.x/172.16.x.x/192.168.x.x，外部网络无法直接访问内网中的服务器。

通过在路由器上做端口映射，配置内网服务器的IP与端口以后，外部网络便可以访问内网服务器，从而使用内网提供的服务
端口映射设置：
高级选项》端口映射》添加规则（保证内部端口与您想要提供服务的端口一致）》保存
端口映射设置举例：
以映射远程桌面端口3389为例。

1.不使用：打勾表示不使用本条规则，规则并不被删除。

2.外部端口：指定一个对外开放的端口，映射到内部服务器开放的端口上。

如果不指定，则外部端口与内部端口相同。

填写范围1－65535。

3.内部IP：内网的服务器的IP地址。

4.内部端口：内网服务器提供的服务所使用的端口。

请参考“常用软件端口协议对照表”。

5.协议：服务器提供的服务所使用的协议，如不清楚是哪种协议，可以选择“TCP/UDP”。

详细请参见：“常见的端口和服务对照表”
6.映射线路：如果是双WAN 接入，在这里选择外网用户通过哪条线路进来访问内网的服务器，系统默认选择“任意”。

若外网用户从WAN1 访问，就用WAN1 口的IP地址，否则，用WAN2口的IP地址。

NAT和DMZ的介绍NAT（Network Address Translation）和DMZ（Demilitarized Zone）是两种常见的网络安全机制，用于保护网络安全和提供对外服务。

下面将对NAT和DMZ进行详细介绍。

1. NAT(Network Address Translation)NAT是一种将私有IP地址转换为公有IP地址的网络安全技术。

它主要有两个作用：隐藏内部网络的真实IP地址和允许多个内部设备共享同一个公有IP地址。

在一个网络中，由于IPv4地址的有限性，私有IP地址范围一般用于内部局域网中，而公有IP地址用于与外部网络通信。

当内部设备需要与外部网络进行通信时，NAT会将内部设备的私有IP地址转换为公有IP地址，并在通信过程中维护地址转换表。

NAT的工作原理如下：-内部设备发送数据包到目标地址时，数据包首先将经过NAT设备。

-NAT设备检查数据包的源IP地址，如果是一个私有IP地址，就将其转换为一个公有IP地址，并建立一条地址转换表记录。

-NAT设备将转换后的数据包发送到外部网络。

-收到外部网络返回的数据包时，NAT设备会根据地址转换表，将数据包的目标IP地址还原为内部设备的私有IP地址。

NAT的主要优点和用途如下：-提高网络安全性：通过隐藏内部网络的真实IP地址，使外部网络无法直接访问内部网络，减少了潜在的网络安全威胁。

-解决IPv4地址不足的问题：由于IP地址资源有限，NAT可以将多个内部设备共享一个公有IP地址，有效减少了IP地址的消耗。

-简化网络配置：NAT可以在内部网络和外部网络之间起到隔离作用，简化了网络配置和管理的复杂性。

2. DMZ(Demilitarized Zone)DMZ是一种网络安全架构，用于提供对外服务并保护内部网络的安全。

DMZ区域是位于内部网络和外部网络之间的一块网络子网或区域，用于放置需要对外提供服务的服务器和应用。

DMZ的工作原理如下：-内部网络和外部网络之间的流量必须经过DMZ区域。

IP地址的端口映射和转发技术的方式网络通信中，IP地址的端口映射和转发技术起着重要的作用，它能够将外部网络请求映射到内部网络的特定设备或应用程序上，实现网络服务的访问和数据传输。

本文将介绍IP地址的端口映射和转发技术的几种常见方式，包括静态映射、动态映射和端口转发技术。

1. 静态映射静态映射是一种最常见的端口映射方式，它通过在网络设备上配置静态映射规则，将外部IP地址和端口映射到内部网络的特定设备或应用程序上。

静态映射一般由网络管理员手动配置，并且一旦配置完成后，映射规则不会发生改变。

这种方式适用于需要长期稳定映射的场景，比如网站服务器或者远程访问设备。

2. 动态映射动态映射是一种根据实际需求进行临时映射的方式，它采用一种动态交换映射表的方法，根据外部请求的源IP地址和端口，临时建立映射规则将请求转发到内部网络的特定设备或应用程序上。

动态映射在使用过程中，映射表中的映射规则会不断变化，适用于需要频繁外部访问的应用，比如P2P文件共享、游戏等。

3. 端口转发技术端口转发技术是一种将外部请求通过中间设备转发到内部网络的方法，常见的中间设备包括路由器、防火墙等。

端口转发技术通过在中间设备上配置转发规则，将外部请求的源IP地址和端口转发到内部网络的特定设备或应用程序上。

相比于映射技术，端口转发技术更加灵活，可以根据实际需求进行灵活配置和调整。

总结：IP地址的端口映射和转发技术是实现网络服务访问和数据传输的重要手段。

静态映射适用于长期稳定映射的场景，动态映射适用于临时映射需求频繁的场景，而端口转发技术则更加灵活，适用于中间设备转发外部请求到内部网络的场景。

网络管理员应根据实际需求选择合适的技术方式，并在配置和管理过程中注意保证网络安全性和稳定性，以提供良好的网络服务和用户体验。

（注：以上内容仅供参考，具体内容可以根据实际需求进行补充和修改）。

一、概念什么是端口‎映射在网络技术‎中，端口（Port）有好几种意‎思。

集线器、交换机、路由器的端‎口指的是连‎接其他网络‎设备的接口‎，如RJ-45端口、Seria‎l端口等。

我们这里所‎说的端口，不是计算机‎硬件的I/O端口，而是软件形‎式上的概念‎。

服务器可以‎向外提供多‎种服务，比如，一台服务器‎可以同时是‎W EB服务‎器，也可以是F‎T P服务器‎，同时，它也可以是‎邮件服务器‎。

为什么一台‎服务器可以‎同时提供那‎么多的服务‎呢？其中一个很‎主要的方面‎，就是各种服‎务采用不同‎的端口分别‎提供不同的‎服务，比如：WEB采用‎80端口，FTP采用‎21端口等‎。

这样，通过不同端‎口，计算机与外‎界进行互不‎干扰的通信‎。

我们这里所‎指的端口不‎是指物理意‎义上的端口‎，而是特指T‎C P/IP协议中‎的端口，是逻辑意义‎上的端口。

端口映射:内网的一台‎电脑要上因‎特网，就需要端口‎映射。

端口映射分‎为动态和静‎态.动态端口映‎射:内网中的一‎台电脑要访‎问新浪网，会向NAT‎网关发送数‎据包，包头中包括‎对方(就是新浪网‎)IP、端口和本机‎I P、端口，NA T网关‎会把本机I‎P、端口替换成‎自己的公网‎I P、一个未使用‎的端口，并且会记下‎这个映射关‎系，为以后转发‎数据包使用‎。

然后再把数‎据发给新浪‎网，新浪网收到‎数据后做出‎反应，发送数据到‎N A T网关‎的那个未使‎用的端口，然后NAT‎网关将数据‎转发给内网‎中的那台电‎脑，实现内网和‎公网的通讯‎.当连接关闭‎时，NA T网关‎会释放分配‎给这条连接‎的端口，以便以后的‎连接可以继‎续使用。

动态端口映‎射其实也就‎是NA T网‎关的工作方‎式。

静态端口映‎射: 就是在NA‎T 网关上开‎放一个固定‎的端口，然后设定此‎端口收到的‎数据要转发‎给内网哪个‎I和端口，不管有没有‎连接，这个映射关‎系都会一直‎存在。

什么叫DMZ区DMZ区有什么作用应该怎样构建DMZDMZ区是指一个在内部网络和外部网络之间的隔离区域，全称为“Demilitarized Zone”，是计算机网络中的一个重要概念，用于增加网络的安全性。

DMZ区可以用于部署公共服务器、防火墙等网络设备，以保护内部网络免受来自外部网络的攻击。

DMZ区的作用有以下几点：1.安全隔离：DMZ区可以将内部网络与外部网络进行物理、逻辑上的隔离，防止来自外部网络的攻击对内部网络造成损害。

2. 公共服务器部署：DMZ区可以用于部署公共服务器，如Web服务器、邮件服务器等，使其能够提供对外的服务，而不直接连接到内部网络，进一步增加了网络的安全性。

3.防火墙配置：DMZ区通常会配置一个或多个防火墙，用于控制来自外部网络的流量，并根据规则允许或拒绝特定的请求。

防火墙可以限制DMZ区域内外部网络之间的通信，从而减少攻击的风险。

4.转发和过滤：DMZ区可以通过网络地址转换（NAT）和端口转发等技术，将来自外部网络的请求转发到DMZ区内的服务器，从而实现公共服务器的访问。

同时，也可以对内部网络与DMZ区之间的流量进行过滤，以防止恶意流量进入内部网络。

构建DMZ区的过程需要遵循以下几个步骤：1. 确定网络需求：首先，需要明确网络的需求，确定需要部署哪些公共服务器，以及访问这些服务器的方式（如Web访问、邮件访问等）。

2.划分子网：根据网络需求，将DMZ区划分为一个或多个子网，每个子网可以分配一个独立的IP地址段。

3. 部署服务器：根据需求，在DMZ区内部署相应的服务器，如Web服务器、邮件服务器等。

这些服务器应该配置好安全措施，如及时更新补丁、强密码、限制访问等。

4.防火墙配置：配置防火墙以保护DMZ区和内部网络。

防火墙应该根据具体情况，设置适当的访问控制规则，允许或拒绝特定的网络流量。

5.监控和更新：定期监控DMZ区的安全性和服务器的运行情况，及时更新防火墙规则、服务器软件等，保持DMZ区的安全性与稳定性。

NAT、PAT、DMZ、端⼝映射、端⼝转发、UPNP前⾔：⼀般运营商宽带分为“运营商公⽹宽带”和“运营商内⽹宽带”，企业或者家庭中⽤公⽹宽带可以实现⼀些对外的服务器环境，但因为全球⽹络设备的增多，ipv4⽆法给所有⽹络设备分配地址，这时候便出现了“运营商内⽹宽带”，通过NAT和内⽹（局域⽹）、公⽹的⽅法解决了ipv4地址紧张问题，⽬前家庭宽带⼀般都是内⽹宽带（电信、联通个⼈可以申请公⽹IP，移动基本⽆法申请成功），也正是因为“运营商内⽹宽带”，所以⼀般家⽤宽带现在均⽆法实现在家建设对外服务器，不过可以通过内⽹穿透等技术实现，本⽂不做过多阐述。

本⽂中的DMZ、端⼝映射、端⼝转发、UPNP只有在“运营商公⽹宽带”中⽤来做对外web服务器或远程跳板机等才有意义，所以⽤它们之前，你得有个公⽹宽带。

这⾥提供⼀种如何查看⾃⼰是否有公⽹IP的⽅法：打开百度输⼊“IP”进⾏搜索，会跳出来⼀个IP地址，然后你打开路由器设置界⾯，查看WAN的IP地址，如果这两个IP地址⼀模⼀样，那么恭喜你，你拥有⼀个公⽹IP。

如果不⼀样就不是公⽹IP。

下⾯是简单画的俩张运营商宽带⽹络图：对⽐这俩张图可以发现内⽹宽带⽐公⽹宽带在运营商那边多了⼀个NAT，相当于保留地址实际就是运营商那边的⼀个局域⽹IP，当然图⽚只是⽰意，运营商那边可能不⽌⼀个NAT（某动的宽带就有⼤量这种⾏为，⼀层⼀层的NAT，这也是为什么某动宽带有些⽹站打不开的原因之⼀），⽽这也是为什么内⽹宽带⽆法做对外服务器的原因，左图公⽹宽带只要设置路由器中的NAT（静态端⼝映射）内⽹IP+内⽹端⼝和公⽹IP+端⼝对应就能实现内⽹主机与公⽹主机的双向访问，⽽右图中尽管路由设置了NAT（静态端⼝映射），此时也只是实现了保留地址与局域⽹的对应关系，在运营商部分的NAT是PAT（动态端⼝映射），即⼀个公⽹IP，通过多个不同端⼝来映射内⽹设备，当没有连接时，映射将会取消，再次连接时再⾃动分配⼀个映射端⼝，且个⼈⽆法进⾏设置对应关系，所以内⽹IP+端⼝映射到最后的公⽹IP+未知端⼝上，此时局域⽹中的主机只能访问公⽹中其他主机，⽽公⽹中其他主机因为找不到局域⽹中映射的公⽹具体端⼝，不能访问局域⽹主机，针对这种情况，我个⼈有个想法，就是通过扫描最后的公⽹IP开放端⼝，然后⼀个端⼝⼀个端⼝进⾏连接测试，最终应该会找到映射的那个端⼝，不过这种⽅法不够现实。

“高级配置—NAT和DMZ配置”页面配置手册（ReOS2008版本）文档编号:152浏览:1009评分:4关键字:NAT和DMZ配置高级配置—NAT和DMZ配置本节主要讲述高级配置—>NAT和DMZ配置的配置方法。

NA T功能介绍NA T简介NA T（网络地址转换）是一种将一个IP地址域（如Intranet）映射到另一个IP地址域（如Internet）的技术。

NA T的出现是为了解决IP日益短缺的问题，NAT允许专用网络在内部使用任意范围的IP地址，而对于公用的Internet则表现为有限的公网IP地址范围。

由于内部网络能有效地与外界隔离开，所以NA T也可以对网络的安全性提供一些保证。

NA T地址空间为了正确进行NA T操作，任何NA T设备都必须维护两个地址空间：一个是局域网主机在内部使用的私有IP地址，设备中用“内部IP地址”表示；另一个是用于外部的公网IP地址，设备中用“外部IP地址”表示。

三种NAT类型设备提供三种NA T类型：“EasyIP”、“One2One”及“Passthrough”。

EasyIP：即网络地址端口转换，多个内部IP地址映射到同一个外部IP地址。

它可为每个内部连接动态分配一个与单一外部地址有关的端口，并维护这些内部连接到外部端口的映射，从而实现多个用户同时使用一个公网地址与外部Internet进行通信。

One2One：即静态地址转换，内部IP地址与外部IP地址进行一对一的映射。

此方式下，端口号不会改变。

它通常用来配置外网访问内网的服务器：内网服务器依旧使用私有地址，对外提供为其分配的公网IP地址给外部网络用户访问。

Passthrough：对指定的IP地址不做NA T，直接按路由方式转发，它经常用于一些会受NAT 影响制约的特别应用。

例如，为保证IP语音和视频会议等应用的正常运行，可在内网中专门划分一个语音视频区，该区的主机均采用“Passthrough”方式。

IP地址的端口映射和NAT转换在计算机网络中，IP地址的端口映射（Port Mapping）和NAT转换（Network Address Translation）是非常重要的概念和技术。

它们在网络通信中起着关键的作用，使得不同网络设备能够实现互联互通，提供全面的网络服务。

本文将就IP地址的端口映射和NAT转换进行详细的介绍和解析。

1. IP地址的端口映射IP地址的端口映射是指将特定的IP地址和端口号映射到另一个IP地址和端口号的过程。

它通常用于解决一台公网IP地址无法被多台设备共享的问题。

在网络环境中，公网IP地址是有限的资源，因此需要通过端口映射来实现多台设备共享同一个公网IP地址的目的。

端口映射的实现主要依靠网络设备，如路由器或防火墙等。

当内部设备向外部发送请求时，路由器会将内部设备的IP地址和端口号信息转换成对应的公网IP地址和端口号信息，然后将请求发送到外部网络。

当外部网络的响应返回时，路由器会根据映射表将响应的数据转发到相应的内部设备。

2. NAT转换NAT转换（Network Address Translation）是一种在网络通信中广泛应用的技术。

它主要用于将内部网络的私有IP地址转换成外部网络的公共IP地址，以便在互联网中进行通信。

NAT转换通过修改IP数据包的源地址和目的地址来实现。

NAT转换对于网络通信的重要性不言而喻。

在很多家庭、企业或机构的网络环境中，使用私有IP地址是非常常见的。

私有IP地址不具备在公网上进行直接通信的能力，因此需要经过NAT转换来实现与外部网络的交互。

NAT转换分为三种类型：静态NAT、动态NAT和PAT（Port Address Translation）。

静态NAT是将一个私有IP地址映射为一个公网IP地址，一对一的关系。

动态NAT是将多个私有IP地址映射为少量的公网IP地址，多对少的关系。

而PAT是将多个私有IP地址和端口号映射为一个公网IP地址和不同的端口号，实现多对多的关系。

代理_端口转发_端口映射_NAT_概念释疑2NAT网络地址转换：这个概念最早用于路由器和防火墙等实体网络设备上，表示路由器/防火墙设备将收到的某数据包的ip地址/传输层端口号进行修改，再走路由转发到目标主机。

NAT最初只是指network address的转换，即ip地址，后来也可以修改传输层的端口号，涉及到端口号的修改的操作也叫作PAT（port address转换），但我们仍习惯于把这二者的修改统称为NAT。

NAT是分2个方向的，对源ip:port的修改叫作sNAT（源地址转换），对目标ip:port的修改叫作dNAT（目的地址转换）①sNAT（源NAT）*sNAT是指客户端发来的数据报文是给B的，但在路由上经过了A设备，*然后A对这个流量的源ip:port做了修改，改成了A的ip:port，并且A记录了这个转换的映射关系，*B收到数据后，响应的报文是发回给A，因为从B那里看，数据的源ip是A*A收到B发回的响应报文后，再根据之前保存的映射关系，把响应报文的目的ip:port改为Client*最后响应报文走路由层发到Client②dNAT（目的NAT、端口映射）*dNAT如果强调对端口的修改，也可叫作端口映射*dNAT是指客户端发来的数据报文是给A的，但A把目的ip:port改为了B的，并记录这个转换的映射关系*B收到数据后，响应的报文是发给Client的，因为之前A并没有修改报文的源ip:port，所以从B那里看，报文就是从Client发来的。

*B发回的响应报文经路由层转发，如果再经过A时，A再根据之前保存的映射关系，把响应报文的源ip:port改回A自己的*响应报文再走路由层发到Client***注意，如果B发回的响应报文经路由转发后，不经过A设备，则源ip:port得不到修改，这样即使Client收到了响应报文，Client也不认这个报文，因为在tcp连接里，要求源ip:port 和目的ip:port对得上，不然就不是同一个连接了。

NAT和DMZ的介绍什么是NATNA T——网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的IP 地址。

这样，通过在内部使用非注册的IP 地址，并将它们转换为一小部分外部注册的IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。

同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

NAT功能通常被集成到路由器、防火墙、单独的NAT设备中，当然，现在比较流行的操作系统或其他软件（主要是代理软件，如WINROUTE），大多也有着NAT的功能。

NAT设备（或软件）维护一个状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP 地址上去。

每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往下一级。

与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。

NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

废话说了不少，让我们转入正题，看一下如何利用NAT保护内部网络。

使用网络地址转换NAT，使得外部网络对内部网络的不可视，从而降低了外部网络对内部网络攻击的风险性。

在我们将内部网络的服务使用端口映射到NAT设备（或是软件）上时，NAT设备看起来就像一样对外提供服务器一台服务器一样（如图一）。

这样对于攻击者来讲，具有一定的难度，首先他要攻破NAT设备，再根据NAT设备连接到内部网络进行破坏。

关于NAT（PAT）与端口映射的理解今天早上在看资料的时候，突然对NAT（实际上应该是PAT，端口转换）与端口映射的区别模糊了，一时分不清双方的区别。

觉得都是一样的东西，后来经过实际案例的分析及自己的理解，终于有了一个比较清晰的概念。

先从原理上面来说，我们通常所说的nat实际上已经不是传统的1对1（1个外网地址对应1个内网地址）及多对多（多个外网地址动态对应多个内网地址）的模式了，通常来说是1对多（1个外网地址的多个端口对应多个内网地址），例如外网地址200.201.30.41这个外网地址的1025~65535的端口对应192.168.0.0/16的地址块，即多个内网ip服用一个ip地址进行internet的连接，也就是pat技术。

通常所说的nat是对网络层的ip地址进行的操作，也就是三层的技术。

而端口映射与pat有一定类似的地方，他是将内网ip的固定的端口映射到防火墙的外网ip地址的固定端口上，并由防火墙代理发布出去。

这是四层的技术。

端口映射与pat的相似的地方在于，它们都是基于传输层的端口进行的转换，而不同的地方在于，pat对于端口的使用是空闲随机的，而端口映射的端口映射则是固定的。

从配置的角度来看，对于nat，只需要定义一个公网ip地址，再定义一个内部的地址池，则转换的过程是自动进行了（当然也可以根据需求定义更多的细节，如源地址、目的地址、双向地址转换等等）。

对于端口映射，则要制定内部的ip地址，端口号，映射的外网的ip地址，端口号。

举例来说，在某个网络的防火墙上有两个公网地址，200.201.30.41,200.201.70.71（举例），定义了两个nat，分别是200.201.30.41——>192.168.0.0/16200.201.70.71——>172.168.0.0/16则内网中，所有192.168.0.0网段的用户上网时显示的公网ip都是200.201.30.41,同理，172.168.0.0/16的公网ip是200.201.70.71，因为内网用户复用了外网ip的随机端口来进行internet的访问，这个端口的使用是随机的。

一、概念什么是端口映射在网络技术中，端口（Port ）有好几种意思。

集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45 端口、Serial 端口等。

我们这里所说的端口，不是计算机硬件的I/O 端口，而是软件形式上的概念。

服务器可以向外提供多种服务，比如，一台服务器可以同时是WEB 服务器，也可以是FTP 服务器，同时，它也可以是邮件服务器。

为什么一台服务器可以同时提供那么多的服务呢？其中一个很主要的方面，就是各种服务采用不同的端口分别提供不同的服务，比如：WEB 采用80 端口，FTP 采用21 端口等。

这样，通过不同端口，计算机与外界进行互不干扰的通信。

我们这里所指的端口不是指物理意义上的端口，而是特指TCP/IP 协议中的端口，是逻辑意义上的端口。

端口映射:内网的一台电脑要上因特网，就需要端口映射。

端口映射分为动态和静态.动态端口映射:内网中的一台电脑要访问新浪网，会向NAT 网关发送数据包，包头中包括对方（就是新浪网）IP 、端口和本机IP 、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT 网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实也就是NAT 网关的工作方式。

静态端口映射: 就是在NAT 网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个I 和端口，不管有没有连接，这个映射关系都会一直存在。

就可以让公网主动访问内网的一个电脑。

什么是DMZDMZ是英文“ demilitarized zone的缩写，中文名称为隔离区”也称非军事化区”它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP 服务器和论坛等。

如何使用端口映射功能与 DMZ 主机设置端口映射/触发i. 当您希望向internet提供某些服务时，如FTP，IIS，POP3，将会用到端口映射。

ii. 若您是通过ADSL连接到internet的，某些应用在直接用电脑拨号时可以正常使用，如在线播放、网络游戏、财经软件等，而使用路由器后发现无法使用了，某些情形下，端口映射/触发也能解决。

您可以先咨询这些应用程序的开发商，让他们提供应用程序所使用的端口，然后在路由器上设置相应端口的映射/触发。

『注』∙设置端口映射即是使电脑的端口向internet开放，开放的端口越多，承担的安全风险越大，所以应当在有必要使用时才使用。

∙WGR614v5/WGR614v6可以设置20个端口映射服务，一般来说，这对于SOHO用户已足够了。

下面将以WGR614v5为例来陈述，且局域网网段没有使用WGR614v5的默认设置192.168.1.0，而是使用的192.168.6.0网段。

1. 登录路由器管理界面，找到并点击左边功能菜单中的端口映射/端口触发：2. 此页面默认已选择了“端口映射”，在“服务名称”中列出了一些常用的服务，但下面我们以建立一个此列表中没有的服务为例。

点击页面下方的”添加自定义服务”：3. 以eMule为例。

当在局域网中使用eMule时，通常只能获得LowID，通过端口映射后即可获得HighID了。

在“服务名称”中添加您为此服务的命名，此处我们将其命名为eMule，“服务类型”选择TCP（或者TCP/UDP）：4. “起始端口”和“结束端口”都设置为eMule所使用的端口，如在eMule-0.46c-VeryCD0913中，默认使用的TCP端口是4662，此参数是在eMule的选项→连接→客户端口中定义的：5. 设置好端口后，将电脑的IP地址填入“服务器IP地址中”，所以由此可知电脑须使用固定IP地址，不应设置成自动获得IP地址：6. 自定义服务设置成功后，在端口映射/端口触发页面会显示出来，重新运行eMule，eD2K网络中的ID就将是HighID了：DMZ主机i. 除了设置端口映射/触发，在不明了连接失败的原因或无法确定应用所使用的端口时，可以将使用某应用或提供某服务的电脑设置为DMZ主机。

nat-dmz规则NAT (Network Address Translation) DMZ (Demilitarized Zone) 规则是一种网络安全架构和策略，用于保护网络中的内部资源免受外部网络的攻击。

本文将详细介绍NAT DMZ规则的工作原理、应用场景、设置方法以及优缺点。

工作原理：NAT DMZ规则通过将网络中的DMZ区域与内部网络和外部网络分隔开来，使得外部网络无法直接访问到内部资源。

DMZ区域是一个处于内部网络和外部网络之间的缓冲区域，通常包含了一些公共服务和资源，比如Web服务器、邮件服务器、DNS服务器等。

当外部网络请求访问DMZ区域的资源时，NAT DMZ规则将会将请求从外部网络终端（例如Web浏览器）转发到DMZ区域的服务器上，同时在返回时也会将响应转发给外部网络终端。

应用场景：NATDMZ规则常常应用于企业网络和互联网服务提供商（ISP）的网络中，用于保护敏感的内部资源，同时向外界提供一些公共的网络服务。

在企业网络中，可以将内部文件服务器、数据库服务器等关键资源放置在DMZ区域中，以提高网络安全性。

在ISP网络中，可以将网页服务器和邮件服务器等公共服务放置在DMZ区域中，以满足用户的需求。

设置方法：设置NATDMZ规则需要进行以下步骤：1.确定DMZ区域的网络拓扑和IP地址分配。

2.配置DMZ区域的服务器，并将其与内部网络和外部网络进行连接。

3.配置网络设备（例如防火墙、路由器）的NATDMZ规则，将外部网络请求转发到DMZ服务器上。

4.配置DMZ服务器上的安全策略，比如访问控制列表（ACL）、防火墙规则等，以确保只有经过授权的用户可以访问到DMZ资源。

5.定期监测DMZ区域的安全状态，及时修复漏洞和加强安全措施。

优缺点：NATDMZ规则具有以下优点：1.提高网络安全性：NATDMZ规则将内部资源与外部网络进行有效隔离，可以防止外部网络的恶意攻击者直接访问到内部资源，提高了网络的安全性。

网络IP地址的端口映射和转发技术随着互联网的迅速发展和普及，人们在日常生活中越来越离不开网络通信。

而在网络通信中，IP地址的端口映射和转发技术扮演着重要的角色。

本文将深入探讨网络IP地址的端口映射和转发技术的原理、应用及其在实际场景中的作用。

一、端口映射技术1. 端口映射的概念端口映射是指将局域网内部的设备或服务通过公共网络的IP地址进行访问的一种技术。

在网络通信中，每个设备或服务都会与一个特定的端口号关联，而端口映射技术则允许外部用户通过特定的端口号来访问内部设备或服务。

2. 端口映射的原理端口映射的实现依赖于NAT（网络地址转换）技术。

NAT主要负责将内部IP地址与外部IP地址进行映射，并在数据传输过程中进行相应的转换。

通过端口映射，NAT可以将外部用户请求的端口映射到局域网内特定的设备或服务，实现外部用户对内部设备或服务的访问。

3. 端口映射的应用场景端口映射技术广泛应用于各种需要远程访问的场景，例如通过路由器远程访问家庭摄像头、实现远程办公等。

通过端口映射，用户可以在外网中访问到内网的设备或服务，极大地提高了网络的便利性和可访问性。

二、端口转发技术1. 端口转发的概念端口转发是指在网络通信中将某一端口的数据流量转发到另一个端口的一种技术。

通过端口转发，可以实现对数据的灵活控制和调度，以适应不同的网络需求。

2. 端口转发的原理端口转发的实现主要依赖于路由器或网络设备的配置和管理。

通过配置路由器或网络设备，将某一端口的数据流量转发到另一个端口，实现不同设备或服务之间的数据交换和通信。

3. 端口转发的应用场景端口转发技术广泛应用于服务器架设、网络游戏、远程桌面等场景中。

通过端口转发，可以将不同的端口之间的数据进行灵活地调度，确保数据的准确传输和高效处理。

三、端口映射与转发的作用1. 提高网络访问效率通过端口映射和转发技术，可以实现外部用户对内部设备或服务的访问，提高了网络的访问效率和便利性。

用户可以随时随地通过互联网访问内网中的设备或服务，方便快捷。

代理_端口转发_端口映射_NAT_概念释疑①端口转发Client访问的目标ip:port为A，（这个ip是网络层的ip地址，port为传输层port）A收到报文后将目标ip:port改为B的，源ip:port不变B响应的报文是发给Client，B发给client的流量不一定原路返回（即可能不经过A）②端口代理Client访问的目标ip:port为A，A收到报文后将源ip:port改为A自己，将目标ip:port改为B的，B响应的报文是发给A，A收到响应报文后再根据映射关系修改响应报文的源ip:port为A，目的ip:port为client（响应流量原路返回）③sNAT源地址转换Client访问的目标ip:port为B，流量经过A，A将请求报文的源ip:port改为A自己，目标不变，B响应的报文是发给AA收到响应报文后再根据映射关系修改响应报文的目的ip:port为Client（响应流量原路返回）④dNAT目的地址转换也叫作端口映射，原理同端口转发（响应流量不一定原路返回）http(s)/socks代理（一般指浏览器/web服务器的代理），分2种方向:⑤正向代理：・Client访问的目标不管是谁（只要符合走代理的规则），就统统把流量发给代理服务器，让代理帮Client去访问目标服务器，・Client到代理之间的（http(s)/tcp/udp）流量是封装在代理协议层之上的，也就是说套了一层代理协议的壳，・Client知道自己是把流量发给了代理服务器・代理服务器收到流量后，再解开这个壳，得到（http(s)/tcp/udp）流量，再根据此流量里的相关信息（如域名）去找目标服务器的ip，最后代理再做sNAT源地址转换把流量发给目标服务器。

・目标服务器响应的报文是发给代理服务器，・代理收到响应报文后再根据映射关系修改响应报文的目的ip:port为Client（响应流量原路返回）⑥反向代理：・Client就正常访问目标服务器B，Client并不知道自己访问的是代理，・结果B是一个反向代理服务器，它把收到的client发来的流量再进行某些修改（如修改Http的报头字段，当然也可不修改），再做端口代理发给后面的真实服务器・后面的真实服务器的响应报文是发给反向代理，・反向代理收到响应报文后再根据映射关系修改响应报文的源ip:port为自己，目的ip:port 为client（响应流量原路返回）总结：根据报文的源ip:port及目标ip:port的修改情况以及应用场景的不同可以得出以上六种不同的网络术语。

设置端口映射或DMZ主机这几天陪老妈和外甥在北京玩。

今天终于回老家了。

还没放假的时候，就想给路由器做端口映射，但无奈学校里面做了N层的内网封装，北京姐姐家里的路由器我又不好要权限。

只有回自己家了，才能拿到路由器权限了。

--------------------------------------------总的来说，原理很简单，只要路由器的WAN IP是公网的IP，就可以将自己内网的一些服务发布到公网上去，让连接互联网的用户直接可以访问内部网络的服务。

实现方式有两种：1 设置DMZ主机； 2 设置端口映射；操作十分的简单。

我家路由器是TP-LINK。

设置DMZ主机。

首先你得知道你内网发布服务的内网IP地址是多少，我是在桥接模式虚拟机下的kali发布的基于Apache的web服务，IP地址是192.168.1.109；然后登陆路由器管理模式吧 192.168.1.1 。

在 "转发规则" 里面的 "DMZ主机" 里面，如下图设置好，保存之后就搞定了。

设置端口映射如下图设置。

在 "转发规则" 的 "虚拟服务器"中。

这里的协议可以根据你提供的服务自己进行设定。

我这里只是为了测试，所以设定全部协议。

(端口问题我在后面会讲)----------------------------------------------------------------------------重点来了。

以上的设置几乎网上的教程都有写，不同公司的路由器也许设置的位置不同，但都大同小异。

然而，我如上设置了之后，拿手机的4G网，输入我的WAN IP 如117.X.X.X:80 发现并连接不上我的服务器 (当然我 kali的apache2已经是开了的)。

经过各种防火墙的测试和屏蔽，发现怎么都无法访问服务。

后来看到一篇文章说网络的运营商可能直接屏掉了80端口。