实现内网通过公网域名访问NAT映射的内网服务器

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

H3C路由器内网用户通过域名访问内网服务器方法最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。

最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP 可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。

一、组网需求：组网如图所示，内网中存在两台服务器分别对外提供www及ftp 服务，网关路由器公网接口上已下发nat server 配置。

DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：H3C SR6600路由器二、组网图：方案一：DNS-mapping 方案：在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。

当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时192.168.1.1，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

方案二：利用NAT 和NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址(202.38.1.1)去访问内网服务器。

通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用(原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变)。

内部主机通过公网地址访问内网服务器配置案例内部主机通过公网地址访问内网服务器的配置是一种常见的网络部署方案，特别适用于需要远程访问内网服务器的情况，比如企业的分支机构、远程办公或者云服务器等。

本文将介绍一种常见的内部主机通过公网地址访问内网服务器的配置案例。

首先，需要明确的是，内部主机通过公网地址访问内网服务器涉及到两个网络层面的配置，一是公网网络配置，二是内网网络配置。

1.公网网络配置：最后，为了确保公网访问的安全性，建议在公网路由器上启用防火墙，并且只开放需要访问的端口，以防止未经授权的访问。

2.内网网络配置：首先，需要为内网服务器分配一个静态IP地址。

静态IP地址保证了内网服务器的唯一性，并且可以方便地在公网路由器上进行映射配置。

这个IP地址可以手动设置在内网服务器或者通过DHCP服务器进行分配。

其次，需要在内网服务器的操作系统上进行相应的网络配置。

具体的配置步骤因操作系统而异，一般涉及到修改网络接口配置文件或者通过网络配置工具来设置IP地址、子网掩码、网关地址等。

为了保证网络连接的正常进行，建议设置DNS服务器地址，以确保网络服务的可用性。

最后，需要在内网服务器上配置对应的网络服务。

例如，如果需要通过HTTP协议访问内网服务器上的网页，需要在内网服务器上安装和配置一个HTTP服务器，例如Apache或Nginx，确保服务正常启动并监听80端口。

总结起来，内部主机通过公网地址访问内网服务器的配置主要涉及到公网网络配置和内网网络配置两个方面。

公网网络配置包括获取公网IP 地址、设置端口映射以及启用防火墙等；内网网络配置包括为内网服务器分配静态IP地址、进行操作系统网络配置以及配置对应的网络服务等。

通过合理的配置，可以实现内部主机通过公网地址访问内网服务器，并确保网络连接的可用性和安全性。

公网(Internet)访问局域网内部主机的实现方法深圳市宏电技术开发有限公司宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器，很多公司通常也有一台服务器并有固定IP 地址。

但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件，所以H7000 GPRS 数据中心系统也不允许安装在该服务器上，为了解决这一问题，可在服务器上进行必要的设置，以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。

此外，由于公网IP 地址有限，不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法，这样就限制了这些用户在自己计算机上安装数据中心，为了在这些用户端安装数据中心软件，最关键的一点是，怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射，就像在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对公网来说，你还是只有一个外部的IP 地址。

怎样把公网的IP 映射成相应的内网IP 地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能。

除此之外，WinRoute Pro 也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server 最为方便。

先来介绍一下NAT ，NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

外网访问内网概述随着互联网和网络技术的发展，许多企业和个人都开始使用内部网络（内网）来处理和存储敏感数据和资源。

然而，有时候需要从外部访问这些内部网络中的资源，例如远程办公、远程桌面控制等。

本文将探讨外网访问内网的几种常见方法和相应的安全措施。

一、端口映射端口映射是最简单和常见的外网访问内网的方法之一。

它通过将外部网络（公网）中的某个端口与内部网络中的特定设备或服务绑定起来，实现数据的传输。

具体步骤如下：1. 在内部网络的路由器或防火墙上配置端口转发规则。

将要访问的端口映射到内部网络中的目标设备或服务上。

2. 在外部网络中，通过访问内部网络的公网IP地址以及映射的端口号进行访问。

尽管端口映射简单易用，但也存在一定的安全风险。

由于内部设备或服务直接暴露在公网上，可能会受到入侵者的攻击。

因此，在配置端口映射时，应注意配置合适的访问控制策略，比如限制访问IP、使用强密码等。

二、虚拟专用网络（VPN）虚拟专用网络（VPN）是一种通过公网来建立安全连接的方法。

使用VPN，外部用户可以通过公网与内部网络建立加密的隧道，使得外部用户能够安全地访问内部网络中的资源。

要实现外网访问内网的VPN，需要在网络中建立一个VPN服务器和相应的VPN客户端。

具体步骤如下：1. 在内部网络中，搭建VPN服务器。

配置用户认证、加密算法等参数。

2. 配置VPN客户端，使其能够与服务器建立安全连接。

3. 在外部网络中，使用VPN客户端连接到VPN服务器，并通过VPN隧道访问内部网络中的资源。

使用VPN的优点是它提供了一种安全的外网访问内网的方法，数据在传输过程中通过加密保护，可以防止黑客窃取敏感信息。

同时，VPN还可以提供身份认证和访问控制等功能，增强网络安全性。

三、反向代理反向代理是一种通过将外部网络请求转发到内部网络的方法。

它隐藏了内部网络的真实地址和结构，只暴露一个公网IP地址给外部网络，可以提高内部网络对外部网络的安全性。

内网的一台电脑要上因特网，就需要端口映射端口映射分为动态和静态动态端口映射:内网中的一台电脑要访问新浪网，会向NAT网关发送数据包，包头中包括对方(就是新浪网)IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实就是NAT网关的工作方式。

静态端口映射:就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。

就可以让公网主动访问内网的一个电脑NAT网关可以是交换机、路由器或电脑。

现在很多关于端口映射的文章都严重的误导人，许多不懂的人把端口映射软件用在自己的电脑上，其实端口映射是要在网关上做的！！！而网关很少是电脑，大部分人也不能控制网关，所以那几个端口映射的软件基本没用。

什么是内网、内网TrueHost、什么是公网、什么是NAT公网、内网是两种Internet的接入方式。

内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，保留地址有如下3种形式：10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。

内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。

公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。

公网的计算机和Internet上的其他计算机可随意互相访问。

NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网IP地址，减少对公网IP地址的占用。

USG6000 Nat Server之通过域名访问内部服务器基于DDNS和接口IP的动态服务器静态映射本例给出一个常见的企业NAT场景的配置过程，该企业外网接口采用DHCP方式获取IP地址，公网IP地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和DDNS，实现外部用户通过域名正常访问内部服务器。

组网需求如图1所示，某公司内部网络通过NGFW与Internet进行连接，将内网用户划分到Trust区域，将Internet划分到Untrust区域；Web服务器位于Trust区域的，域名为（）。

NGFW外网接口通过DHCP方式获取IP地址，NGFW作为DDNS Client和DDNS Server 配合，使得外部网络用户通过域名（）能够访问IP地址为10.1.1.3/24的内网Web服务器。

图1 基于DDNS和接口IP的动态服务器静态映射组网图1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置安全策略，允许外部网络用户访问内部服务器。

3.配置基于接口的服务器静态映射4.开启域名解析，配置DNS Server。

5.配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（）能够访问内网服务器。

6.在NGFW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

操作步骤1.配置各接口的IP地址，并将其加入安全区域。

2.<NGFW> system-view3.[NGFW] interface GigabitEthernet 1/0/14.[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 245.[NGFW-GigabitEthernet1/0/1] quit6.[NGFW] firewall zone trust7.[NGFW-zone-trust] add interface GigabitEthernet 1/0/18.[NGFW-zone-trust] quit9.[NGFW] firewall zone untrust10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2[NGFW-zone-untrust] quit11.配置安全策略，允许外部网络用户访问内部服务器。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。

NA T外网访问内网方法由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP 上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NA T，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NA T包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

解决NAT后内网主机无法通过域名访问内网服务器的方法1问题分析众所周知，在采用NAT上网的时候，如果内网有服务器需要让互联网用户访问，这时我们要做静态NAT或者端口映射（后面都以端口映射举例说明）。

一般来说，我们都会为服务器申请一个互联网上的域名。

既然有域名，当然就需要DNS的解析，我们也肯定不会让DNS 解析成服务器内网的IP地址，因为这个IP地址是互联网上不可能到达的，所以正常情况下我们都是将域名绑定到路由器的inside globle 地址上，当互联网用户访问这个地址时，互联网会将由指向我们的路由器，路由器则通过NAT转换成服务器的内网地址，并发送给服务器，实现外网用户的访问。

过程如下：很多时候，我们可能希望内网用户也能通过域名访问到内网服务器，但是如果您使用的是思科的路由器作为网关，那么您会发现根本访问不了（一般家用的路由器是可以的）。

问题在于思科的路由器在处理NAT时，有个优先级的问题，来自inside区域的流量先路由后NAT，来自outside区域的流量先NAT且路由，而且要求流量必须穿越inside和outside两个区域，也就是说思科的NAT是工作在inside和outside两个区域的中间，而内网用户访问域名时，DNS会返回路由器的inside globle地址，如果这个地址是路由器自己的outside接口地址，当内网主机试图访问该地址时，路由器根本不会将流量发出outside接口，而是自己路由给自己处理了，因为它是自己的接口地址。

这时流量没有穿越（发出）outside 接口，所以路由器不会对这个流量进行NAT转换，而是路由器自己直接回包了。

2实验一：证实NAT存在的问题2.1实验说明我们可以用实验证实这一点，以下是实验拓扑：R1作为内网的网关，提供NAT转换；R2作为内网的服务器，提供telnet服务；R3作为内网的PC，用于测试；R4作为互联网DNS服务器，用于域名解析；R5作为外网服务器，既可用于内网访问互联网测试，也可用于从外部访问内网服务器的测试。

内部主机通过公网地址访问内网服务器配置案例1组网拓扑实验拓扑如上图，内部服务器有个外部域名，内部通过同一个固定公网IP上网。

需求：要实现外部通过域名访问内部服务器，内部同样也能通过外部域名访问内部服务器。

2需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。

内部主机访问外部域名时经解析会成为公网地址，而到达服务器后根据源地址是内部地址直接回复，将不再通过公网地址回包。

3相关配置#acl number 2000 //定义内部上网的数据流rule permit source 192.168.1.0 0.0.0.255#int g0/0 //外网口ip address 100.100.100.2 24nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 wwwnat outbound 2000quitint e1/0 //内网接口ip address 192.168.1.1 24nat outbound 2000nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配，MSR全局有效则可以不配置ip route-static 0.0.0.0 0 100.100.100.14测试分析1、外部主机A访问内部服务器时A→WWW 经解析后A→100.100.100.2通过外网口进入路由器，匹配nat server后A→192.168.1.10，服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A，访问成功。

2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2，若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10；服务器回包时直接192.168.1.10→192.168.1.2，访问不能成功；内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10，服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2，至此访问成功。

NAT外网访问内网方法,内网端口映射外网ip由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP 地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

内⽹穿透详解⽬录⼀、前⾔阅读本⽂前需要先搞懂NAT、PAT、端⼝映射⼏个概念，前⾯我有写了⼀篇关于这⼏个概念的博⽂。

根据之前的博⽂我们已经知道，内⽹宽带中的主机可以访问公⽹宽带主机，反之不可以访问；公⽹宽带主机可以和公⽹宽带主机双向访问；内⽹宽带中的主机和内⽹宽带中的主机互相⽆法访问。

那么内⽹宽带中的客户机和公⽹宽带中的客户机如何访问另⼀个内⽹宽带中的服务器呢？这⾥就需要⽤到内⽹穿透技术。

⼆、应⽤场景家⾥或公司是运营商内⽹ipv4宽带或公⽹IP在防⽕墙后，且需要在外访问家⾥或公司的电脑、NAS、树莓派、摄像头等⽹络设备或远程控制等情况下。

三、详细原理3.1 传统内⽹穿透（服务器中转数据穿透）原理对于在NAT之后的服务器来说，其不是不能主动访问公⽹端⼝，⽽是不能反过来有效的被公⽹访问。

所以可以在中间架设⼀个公⽹服务器，让在NAT之后的服务器持续主动访问这个拥有公⽹IP地址的服务器，，这样内⽹服务器就成功与公⽹中转服务器建⽴了⼀个连接通道。

然后当有任何其他NAT后的客户端主动连接公⽹中转服务器时，公⽹服务器接收到连接请求之后马上把这连接请求通过先前建⽴好的隧道转发到内⽹服务器，内⽹服务器将响应数据包再原路转发回去，最终到达公⽹中转服务器，然后返回给其他NAT后的客户端。

3.2 点对点穿透原理在内⽹穿透传输⼤量数据时如果都经过服务器中转的话，这样会对服务器端带宽压⼒⽐较⼤。

只要是数据量很⼤，⽽⼀般利⽤中转服务器⼜需要⼀定规模投⼊的应⽤，我们都可以考虑⽤P2P技术。

1.UDP打洞技术最为常见的实现P2P的⽅式是采⽤UDP打洞技术，UDP打洞技术是通过中间服务器的协助在各⾃的NAT⽹关上建⽴相关的表项，使P2P连接的双⽅发送的报⽂能够直接穿透对⽅的NAT⽹关，从⽽实现P2P客户端互连。

如果两台位于NAT设备后⾯的P2P客户端希望在⾃⼰的NAT⽹关上打个洞，那么他们需要⼀个协助者——集中服务器，并且还需要⼀种⽤于打洞的Session建⽴机制。

知道服务器的公网IP地址怎么查找内网服务器
有时候知道服务器的公网IP地址，怎么找到在内网是那台机器呢!在没有相关权限的情况下，可以使用下面店铺介绍的办法来找到是那台内网IP的服务器。

知道服务器的公网IP地址查找内网服务器的方法
先尝试使用ping看下是否会解析至内网的服务器上面。

测试结果如下，并没有直接找到目标，并没有相关的内网DNS服务。

那就使用tracert进行路由跟踪，找到相关的计算机名。

找到计算机名后，可以使用nbtstat –a 计算机名，此命令，根据计算机名，寻到相关的MAC地址。

再使用内网测试一下，看下是否有相关邮件服务。

使用telnet 命令，可直接进行测试一下。

看其测试的结果。

就知道已经是成功的了!到此就已经成功的通过域名，而找到服务器的内网的 IP 地址了。

END。

需求：内网PC通过公网IP访问内网服务器：ICMP请求：第一步：流量走向：R2 ICMP请求第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat outbound 3000 将数据包改为：，建立nat 会话表：s：转成第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat server ,将数据包改为建立nat会话表：d：转出从g0/0/0口发送给R1.第五步：R1收到ICMP请求包ICMP应答：第一步：R1 ICMP应答：第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat会话表：d：转出将数据包改为：第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat 会话表：s：转成，将数据包换成从g0/0/0口发送给R2.第五步：R2收到ICMP应答包。

完成整个ping的过程。

主要R3的配置如下：其余路由器都是基本配置#acl number 3000 //内网通过公网IP访问时outbound aclrule 10 permit ip source 0 destination 0acl number 3001 //用于流量策略的aclrule 20 permit ip source 0 destination 0 //icmp请求时匹配 rule 40 permit ip source 0 destination 0 //icmp应答是匹配#traffic classifier c1 operator orif-match acl 3001#traffic behavior b1redirect ip-nexthop policy p1classifier c1 behavior b1 //匹配acl的流量强制下一跳为authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$}e#<0`8bmE3Uw}%$%$local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip addresstraffic-policy p1 inbound // 内网接口的inbound方向应用#interface GigabitEthernet0/0/1ip addressnat server protocol icmp global inside nat outbound 3000 #。

内⽹穿透⼯具对⽐FRP+NPS+Zerotier与NAT服务器测试中展⽰了私有云盘的搭建⽅式，但仅能本地访问肯定⽆法满⾜有私有云⽤户的需求，于是笔者尝试了多个流⾏的内⽹穿透⼯具，⾸先说明⼀下笔者⽬前的配置情况，可道云是通过树莓派挂载的，到达公⽹前⾄少有两次NAT，服务器有⼀个⾹港的普通服务器（ 30M 带宽）和两个江苏的NAT服务器（ 100M 带宽），笔者将分别在两种服务器上使⽤三个软件，并介绍安装和配置⽅法以及注意事项⾸先解释⼀下NAT服务器，与普通服务器不同的是，NAT服务器是多个⽤户共⽤ IP 的，仅能使⽤⼗个⾄⼏⼗个端⼝，有的是直接划分好端⼝段（ OLVPS ），服务器上⽤防⽕墙打开对应端⼝即可使⽤，有的可以⾃⾏设定端⼝映射（ CloudIPLC ），但是在公⽹上只能打开 1 万以上的端⼝号，且可能已经被占⽤FRP 和 NPS 的原理都相近，⼀个主（Server）多个从（Client），通过⼀个端⼝（TCP复⽤）使多个从服务器的端⼝映射到主服务器上，使得访问主服务器端⼝时，能获得访问从服务器对应端⼝的⽬的。

以本⽂的需求为例，假如我在树莓派的 5000 端⼝上挂载了⼀个⽹页服务，想通过公⽹访问，则可以将树莓派的 5000 端⼝映射到公⽹服务器的 6000 端⼝，然后访问公⽹服务器的6000端⼝即可访问⽹页，其他的可以⼀⼀映射，如5100到6001，5200到6002，如下图所⽰NAT 服务器稍有不同，即多了⼀层映射，需要将 NAT 服务器的内⽹端⼝映射到公⽹端⼝上，假设需求和上图相同，则需要将树莓派的 5000、 5100 和 5200 端⼝映射到 NAT 服务器的 6000 、 6001 、 6002 端⼝上，数据沟通端⼝则填写 37000 ⽽不是 7000 ，然后⽤户通过访问36000 、 36001 和 36002 可获得相同效果，如下图所⽰那么下⾯进⼊部署阶段FRP⼀个由 go 语⾔实现的内⽹穿透⼯具，优点是下载即⽤，不需要安装，可以在不同服务器间拷贝，直接运⾏即可，缺点是官⽅提供的 WebUI ⾮常鸡肋，可以直接忽略，本⽂使⽤的是 0.34.1 版本https:///fatedier/frp普通服务器Server端笔者⼀般先部署 Server 端，因为调试逻辑会更加简单，⾸先去官⽹下载 Release 包，注意区别服务器系统版本，解压压缩包之后给予 frps ⽂件执⾏的权限，当然最简单的⽅式就是整个⽬录递归赋予777权限（笔者通过 WinSCP 操作的），然后修改frps.ini，笔者使⽤的设置为[common]bind_port = 7000kcp_bind_port = 7000token =服务器间通信密码dashboard_port = 7001dashboard_user =⽤户名dashboard_pwd = WebUI密码log_file = /root/log/frps.loglog_level = infolog_max_days = 7其中含有 dashboard 的⼏个变量都是和 WebUI 相关的，不使⽤该功能的话可以直接删掉，然后切换到⽬录下运⾏看是否报错（记得先创建log ⽂件夹，不知道为什么这些软件连创建⽂件夹都不会），如果未正常开启可以在 log ⽂件中查看⽇志并修正./frps -c ./frps.iniClient端解压后修改配置⽂件frpc.ini，注意和上⾯的区别，别修改或运⾏错了[common]server_addr =服务器ipserver_port = 7000token =服务器间通信密码protocol = kcplog_file = /root/log/frpc.loglog_level = infolog_max_days = 7[ssh]type = tcplocal_ip = 127.0.0.1local_port = 22remote_port = 6000[web]type = tcplocal_ip = 127.0.0.1local_port = 80remote_port = 6001将服务器 ip 和密码设置好后就可以运⾏了，如果使⽤的是 kcp 协议，需要放⾏通信端⼝（如上⽂中的 7000 端⼝）的 udp 协议，也可以使⽤默认的 tcp 协议，下⽅模块的 type 中的协议不需要更改，更多协议可以参考官⽅⽂档./frpc -c ./frpc.ini这时建议先两边都⽤ ssh 客户端直接运⾏命令开启服务并验证是否可以连通，如果⼀切正常再使⽤其他⽅式后台运⾏，如果⽆法连接，下⾯列出了⼏个常见的解决思路1、查看 log ⽇志的报错信息，其中 log ⽇志所在的⽬录需要提前创建，然后根据错误信息来排查问题2、查看是否端⼝已经被占⽤ netstat -lnp|grep 端⼝号3、查看两侧防⽕墙是否均放⾏所有相应的端⼝的 tcp 协议，其中 kcp 需要放⾏沟通端⼝（如上⽂中的7000）的 tcp + udp 协议4、从外部查看端⼝是否开放（测服务器的），需要开启服务后即有程序监听端⼝后查看， /tool/port5、frpc.ini 配置⽂件⾥⾯的模块是否重名，可能因为复制粘贴忘记修改⽽重名以⾄⽆法开启服务NAT服务器Server端和上⾯完全相同，如果是⼿动开启映射的服务器，记得在使⽤ kcp 协议的时候，增加⼀条 udp 的映射Client端稍有不同的是需要将 server_port 改为映射后的端⼝，如上图中的 37000 ，server_addr 实测⽀持填写域名NPS⼀个同样由 go 实现的内⽹穿透⼯具，但官⽅提供了更好的 WebUI ，并且可以直接操作 Server 端就能完成映射，在增减映射的时候不⽤重启服务，避免了想重启服务但关闭服务导致 ssh 掉线然后服务⽆法开启因此失联的尴尬局⾯，当然，为了更保险起见，笔者同时开了 FRP 和 NPS 服务，防⽌掉线后⽆法重连的尴尬，当然，后⾯加⼊了 ZeroTier 实现了三重保险，本⽂使⽤的是 0.26.9 版本https:///ehang-io/nps普通服务器Server端下载Release包，解压然后进⼊⽬录，安装./nps install默认情况下，服务会安装到 /etc/nps ⽂件夹中，编辑配置⽂件 /etc/nps/conf/nps.conf⼀般情况下修改这四⾏内容即可http_proxy_port=未被占⽤的端⼝https_proxy_port=未被占⽤的端⼝web_username=⽤户名web_password=密码因为很可能服务器的80和443端⼝已经⽤来开启其他服务⽐如被 Nginx 监听了，所以直接运⾏会报错，因此需要修改成未被占⽤的端⼝，并填写后台管理⽤的⽤户名和密码，在放⾏ 8080 端⼝后开启服务就可以访问到后台了nps start点击客户端 - 新增 - 新增使⽤默认配置新增⼀个服务器，可以⾃⾏选择是否加密和压缩，然后点击隧道 - 新增新增⼀个映射，以上图为例，则服务器端⼝填写 6000 ，⽬标 (IP:端⼝) 填写路由器下内⽹:5000或者127.0.0.1:5000然后返回客户端列表点击服务器左侧加号，可以得到⼀条如下所⽰的客户端命令，复制后配置客户端时使⽤，记得放⾏防⽕墙端⼝./npc -server=服务器IP:端⼝（默认8024） -vkey=⾃动⽣成的密钥 -type=tcp如果需要修改默认端⼝ 8024 ，可以修改 bridge_port 后重启⽣效（理论上，笔者未测试），卸载可以执⾏ nps uninstall 后通过whereis nps 找到残留⽂件删除即可Client端⾸先防⽕墙放⾏相应端⼝，然后解压压缩包然后进⼊⽬录并执⾏上⾯复制的客户端命令，理论上，刷新后台即可看到客户端状态均变为绿⾊，因为是直接⽤ ssh 执⾏的命令，因此如果未正常连接，可以通过⽇志来查错和修正，基本的排查错误的思路和 FRP 相同NAT服务器Server端和上⾯完全相同Client端稍有不同的是需要将客户端命令改为映射后的端⼝，如上图中的 37000 ，服务器IP 实测⽀持填写域名ZeroTier如果阅读了上⾯两个⼯具的 Github 页⾯或者官⽅⽂档，就会发现，⾥⾯都提到了⼀个 P2P 的连接⽅式，但是笔者尝试后会发现存在诸多问题且很多时候⽆法连接，官⽅也表名并不稳定，那么，有没有⼀个专门做 P2P 连接的⼯具呢，这个就是了，⼀个使⽤ CPP 和 C 实现的内⽹穿透⼯具，并且组建的是局域⽹，本⽂使⽤的是 1.4.6 版本https:///zerotier/ZeroTierOneLeaf 节点（叶⼦节点）这⾥⾯的概念发⽣了⼀些变化，因为这个的⽬的是将所有⽤户连接起来形成⼀个局域⽹，因此所有⽤户都是平等的，也就没有服务端和客户端的区别了，增加⼀个⽤户相当于增加了⼀个 Leaf 节点，可以使⽤⼀键安装包， Windows ⽤户去下载 exe ⽂件安装即可，如果 debian 系统下提⽰没有 sudo 同时已经在 root ⽤户下，去掉 sudo 即可curl -s https:// | sudo bash如果安装时提⽰ NO_PUBKEY 1657198823E52A61 ，则需要添加公钥，这种情况⼀般是使⽤了第三⽅的镜像导致的，⽐如清华源、阿⾥源apt-key adv --keyserver --recv-keys 1657198823E52A61安装完后就可以通过 zerotier-cli 配置服务器了，⾸先，开启服务并设置开机⾃启systemctl start zerotier-onesystemctl enable zerotier-one打开官⽹创建账号然后新增⽹络https:///network然后获得⼀个 Network ID ，所有节点加⼊⽹络都使⽤相同的命令，Windows 下就使⽤管理员权限的 CMD 来执⾏zerotier-cli join ID如果成功则会返回200join success然后打开防⽕墙 9993 的 udp 协议，Windows 下⾃动打开了，⽆需⼿动操作然后在官⽹中打开该⽹络的设置页⾯，在 Members 中就会多出⼀个成员，即 Leaf 节点，左侧打钩即可同意加⼊⽹络，同时会显⽰版本号和公⽹ IP 并分配⼀个内⽹ IP ，当有超过两个节点之后，就可以通过内⽹IP Managed IPs 相互连通了，这个页⾯似乎是会进⾏ ajax 刷新的，所以不需要⼿动刷新Moon节点（⽉亮节点）但如果连接国外 Planet 节点（⾏星节点）的效果不够好怎么办，可以⾃⾏搭建 Moon 节点当中转站，⾸先，将 Moon 节点按上⾯⽅法加⼊⽹络并授权，然后新增 Moon 配置cd /var/lib/zerotier-onezerotier-idtool initmoon identity.public > moon.json修改配置⽂件 moon.json ，在括号内填⼊服务器的公⽹ IP 和端⼝，注意需要双引号，同时复制ID，位于 ["id": "18fasd2319"] 内，后⾯让其他 Leaf 节点加⼊时使⽤"stableEndpoints": ["公⽹IP/9993"]在该⽬录下⽣成 Moon ⽂件，⽂件名类似于 00000018fasd2319.moonzerotier-idtool genmoon moon.json新增 moons.d ⽂件夹，即 /var/lib/zerotier-one/moons.d/ ，将 00000018fasd2319.moon ⽂件移⼊，然后重启服务systemctl restart zerotier-one其他节点绑定 moon 节点的⽅式都是输⼊以下命令， ID 需要改为上⾯复制的 IDzerotier-cli orbit 18fasd231918fasd2319重启服务后查看是否添加成功zerotier-cli listpeerszerotier-cli listmoonslistpeers 列出了局域⽹内所有的节点，包括官⽅的⾏星中转节点 Planet 、所有⽤户的叶⼦节点 Leaf 以及⾃建的⽉亮中转节点 Moon ，⼀⾏为⼀个节点，如果没有看到 Moon 节点则添加失败， listmoons 如果返回为空则失败当然 Linux 下可以新建⽬录 /var/lib/zerotier-one/moons.d/ ，然后复制⽣成的 moon ⽂件到⽂件夹下，重启服务后查看是否⽣效Windows下的默认⽬录在 C:\ProgramData\ZeroTier\One\moons.d\ ，新建该⽂件夹然后复制进去，重启（停⽌然后启动）服务（打开开始菜单然后搜索服务即可找到）即可，如果执⾏ zerotier-cli 的命令时出现missing authentication token，则需要⽤管理员⾝份启动 CMD ，如果出现了服务不正常的情况，⽐如右键状态栏中图标发现没有节点，可以尝试⼿动重启服务或重启电脑两个 Leaf 节点如果打通则通过 9993 端⼝的 UDP 协议连接，速度取决于两端的带宽和延时，与中转节点⽆关，如果两个 Leaf 节点之间未能成功打通，则会⾛服务器中转NAT服务器对⽐⽆论如何都要选择 KVM 架构的服务器，⼀般都有标明的，这个可玩性才⾼，⼀般情况下价格也不会⾼很多CloudIPLChttps:///需要实名认证，仅能开启⼀个服务器，电信移动联通均有，最便宜的 1C+384M+4G+600G ，价格为30元⼀个⽉，这个⼤⼩的内存如果重装纯净版，仅能安装 Debian9 ， CentOS 和 Debian10 都是装不上的，512M 的内存可以装 Debian10 ，具体的重装教程请阅读下⼀篇⽂章需要⼿动映射内⽹端⼝到公⽹端⼝上，TCP和UDP分开映射，考虑 ssh 端⼝占⽤⼀条，则可以配置额外⼗条映射规则如果使⽤ FRP 的 KCP 模式，通信端⼝占⽤ TCP + UDP 两条映射规则，则可以映射 8 个额外的端⼝如果使⽤ NPS ，通信和 WebUI 占⽤两个端⼝，同样有额外 8 个端⼝可⽤，如果使⽤纯⽂本配置，则多⼀个，但是会⿇烦很多，⽤ NPS 就是看上了他的 WebUI如果使⽤ ZeroTier，emmmmmm，为什么要为⼀个中转功能开⼀个 NAT 服务器啊淦，随便开个普通的服务器就好了，或者直接⽤官⽅的节点不过不太能够理解的是，因为不明原因，在穿透可道云的时候，加载含⼤⽂件的⽂件夹时百分百会出现 Ajax Error ，且⽆法打开 AriaNG，在重装清华源 Debian9 、开启 BBR 、检查 MTU 、⼿动部署 Nginx-1.14.2 、⼿动部署 PHP7.3-FPM 、提⾼所有超时和⼤⼩限制、开启UDP 之后问题依旧，服务器提供商表⽰问题你们⾃⼰解决，可道云开发者表⽰不关我事，遂放弃。