如何使用端口映射功能与 DMZ 主机设置

设置端口映射或DMZ主机这几天陪老妈和外甥在北京玩。

今天终于回老家了。

还没放假的时候，就想给路由器做端口映射，但无奈学校里面做了N层的内网封装，北京姐姐家里的路由器我又不好要权限。

只有回自己家了，才能拿到路由器权限了。

--------------------------------------------总的来说，原理很简单，只要路由器的WAN IP是公网的IP，就可以将自己内网的一些服务发布到公网上去，让连接互联网的用户直接可以访问内部网络的服务。

实现方式有两种：1 设置DMZ主机； 2 设置端口映射；操作十分的简单。

我家路由器是TP-LINK。

设置DMZ主机。

首先你得知道你内网发布服务的内网IP地址是多少，我是在桥接模式虚拟机下的kali发布的基于Apache的web服务，IP地址是192.168.1.109；然后登陆路由器管理模式吧 192.168.1.1 。

在 "转发规则" 里面的 "DMZ主机" 里面，如下图设置好，保存之后就搞定了。

设置端口映射如下图设置。

在 "转发规则" 的 "虚拟服务器"中。

这里的协议可以根据你提供的服务自己进行设定。

我这里只是为了测试，所以设定全部协议。

(端口问题我在后面会讲)----------------------------------------------------------------------------重点来了。

以上的设置几乎网上的教程都有写，不同公司的路由器也许设置的位置不同，但都大同小异。

然而，我如上设置了之后，拿手机的4G网，输入我的WAN IP 如117.X.X.X:80 发现并连接不上我的服务器 (当然我 kali的apache2已经是开了的)。

经过各种防火墙的测试和屏蔽，发现怎么都无法访问服务。

后来看到一篇文章说网络的运营商可能直接屏掉了80端口。

映射端口：介绍端口映射‎的作用及其配‎置采用端口映射‎（Port Mappin‎g）的方法，可以实现从I‎n terne‎t到局域网内‎部机器的特定‎端口服务的访‎问。

例如，你所使用的机‎子处于一个连‎接到Inte‎r net的局‎域网内，你在机子上所‎开的所有服务‎（如FTP），默认情况下外‎界是访问不了‎的。

这是因为你机‎子的IP是局‎域网内部IP‎，而外界能访问‎的只有你所连‎接的服务器的IP，由于整个局域‎网在Inte‎r net上只‎有一个真正的‎I P地址，而这个IP 地‎址是属于局域‎网中服务器独有的。

所以，外部的Int‎e rnet登‎录时只可以找‎到局域网中的‎服务器，那你提供的服‎务当然是不起‎作用的。

所以解决这个‎问题的方法就‎是采用PM了‎。

端口映射在思‎科设备的配置‎：router‎(config‎)#ip nat inside‎source‎static‎tcp 10.10.10.1 22 210.10.8.1 22 extend‎a blerouter‎(config‎)#ip nat inside‎source‎static‎tcp 10.10.10.2 80 210.10.8.1 80 extend‎a ble映射端口：路由器端口映射的‎原理及设置方‎法介绍端口映射其实‎就是我们常说‎的NAT地址‎转换的一种，其功能就是把‎在公网的地址‎转翻译成私有‎地址，采用路由方式‎的ADSL宽‎带路由器拥有‎一个动态或固‎定的公网IP‎，ADSL直接‎接在HUB或‎交换机上，所有的电脑共‎享上网。

这时ADSL‎的外部地址只‎有一个，比如61.177.0.7。

而内部的IP‎是私有地址，比如ADSL‎设为192.168.0.1,下面的电脑就‎依次设为19‎2.168.0.2到192.168.0.254。

在宽带路由器‎上如何实现N‎A T功能呢？一般路由器可‎以采用虚拟服‎务器的设置和‎开放主机(DMZ Host)。

端口映射、DMZ、虚拟服务器配置
端口映射又叫虚拟服务器，当内网使用私有地址时，比如10.x.x.x/172.16.x.x/192.168.x.x，外部网络无法直接访问内网中的服务器。

通过在路由器上做端口映射，配置内网服务器的IP与端口以后，外部网络便可以访问内网服务器，从而使用内网提供的服务
端口映射设置：
高级选项》端口映射》添加规则（保证内部端口与您想要提供服务的端口一致）》保存
端口映射设置举例：
以映射远程桌面端口3389为例。

1.不使用：打勾表示不使用本条规则，规则并不被删除。

2.外部端口：指定一个对外开放的端口，映射到内部服务器开放的端口上。

如果不指定，则外部端口与内部端口相同。

填写范围1－65535。

3.内部IP：内网的服务器的IP地址。

4.内部端口：内网服务器提供的服务所使用的端口。

请参考“常用软件端口协议对照表”。

5.协议：服务器提供的服务所使用的协议，如不清楚是哪种协议，可以选择“TCP/UDP”。

详细请参见：“常见的端口和服务对照表”
6.映射线路：如果是双WAN 接入，在这里选择外网用户通过哪条线路进来访问内网的服务器，系统默认选择“任意”。

若外网用户从WAN1 访问，就用WAN1 口的IP地址，否则，用WAN2口的IP地址。

如何使用路由器的DMZ功能路由器的DMZ（Demilitarized Zone）功能可以帮助用户实现特定设备的端口映射，使其直接暴露在互联网上，提供更灵活的网络连接选项。

在本文中，将介绍如何正确配置和使用路由器的DMZ功能，以便用户能够充分利用这一功能，并确保网络的安全性。

一、了解DMZ功能的作用与原理DMZ功能允许将一个设备放置在本地网络和互联网之间的一个隔离区域中。

这个隔离区域与本地网络和互联网之间存在一层防火墙，通过映射设备的端口将其连接至互联网。

这样做可以增强网络的安全性，同时提供更便捷的网络访问方式。

二、找到并登录路由器的管理界面不同品牌和型号的路由器管理界面可能会有所不同，但通常需要在浏览器中输入路由器的IP地址来访问。

用户可以在路由器的说明书或官方网站上找到该IP地址，并使用管理员账号和密码登录管理界面。

三、查找DMZ设置选项在路由器的管理界面中，用户需要查找到DMZ设置选项。

这通常可以在“高级设置”、“安全设置”或“网络设置”等菜单中找到。

如果无法找到DMZ设置选项，建议查阅路由器的说明书或参考官方网站上的帮助文档。

四、启用DMZ功能并设置目标设备在找到DMZ设置选项后，用户需要启用该功能，并选择要设置为DMZ主机的目标设备。

通常，可以通过输入目标设备的IP地址或MAC地址来选择。

确保目标设备已连接到路由器并处于工作状态。

五、检查并保存配置在设置DMZ主机后，用户应该检查配置是否正确，并确保其他网络设置没有被影响。

确认配置无误后，记得点击“保存”或“应用”按钮，以使设置生效。

六、测试DMZ功能是否正常工作配置完成后，用户可以进行测试以确保DMZ功能正常工作。

可以尝试从互联网访问设置为DMZ主机的设备，测试其网络连接是否正常。

如果测试成功，说明DMZ功能已经正确配置并生效。

七、DMZ功能的安全注意事项在使用DMZ功能时，用户需要注意以下安全事项：1.选择合适的目标设备：确保只将可靠、需要对外提供服务的设备设置为DMZ主机，避免对不必要的设备进行开放。

映射端口：介绍端口映射的作用及其配置采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP 地址是属于局域网中服务器独有的。

所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。

所以解决这个问题的方法就是采用PM了。

端口映射在思科设备的配置：映射端口：路由器端口映射的原理及设置方法介绍端口映射其实就是我们常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

这时ADSL的外部地址只有一个，比如61.177.0.7。

而内部的IP是私有地址，比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。

在宽带路由器上如何实现NAT功能呢？一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。

虚拟服务器一般可以由用户自己按需定义提供服务的不同端口，而开放主机是针对IP地址，取消防火墙功能，将局域网的单一IP地址直接映射到外部IP之上，而不必管端口是多少，这种方式只支持一台内部电脑。

最常用的端口映射是在网络中的服务器使用的是内部私有IP地址，但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器，这里，我们就需要搞清楚所用服务的端口号，比如，HTTP服务是80，FTP 服务则是20和21两个端口。

这里我们以最常用的80端口为例，设置一个虚拟HTTP服务器，假设内部HTTP 服务器IP地址为10.0.0.10。

路由器DMZ功能使用指南很多人不知道路由器DMZ（Demilitarized Zone）是什么，也不知道如何使用它。

本文将介绍DMZ功能的作用、使用场景以及如何在常见路由器品牌中设置DMZ。

一、DMZ的作用DMZ是一种网络安全策略，用于将受保护的内部网络和不受保护的公共网络分开。

允许在DMZ中设立服务器，公开其IP地址，以满足外部对其服务的需要，而不必让外部网络能够直接进入内网中的其他服务器。

对于需要特定网络服务的用户来说，DMZ是一个非常有用的功能，因为它可以为客户端和服务器建立直接的网络连接。

二、使用场景1.游戏主机，如PlayStation和Xbox，需要DMZ功能才能在Internet 上实现最佳游戏体验。

2. 在某些情况下，需要将某些服务公开到互联网上，例如Web服务器、FTP服务器或VPN服务器。

3. 如果您的公司需要允许外部用户访问某些内部资源或应用程序，那么DMZ可以作为一种保护措施，以防止恶意攻击。

三、常见路由器品牌中的DMZ设置1. TP-Link路由器-在浏览器中输入路由器的IP地址并登录。

-进入高级设置并选择NAT转发。

-选择DMZ功能并启用它。

-输入您想要开放给公众网络的服务器的IP地址。

-保存更改并退出设置。

2. Netgear路由器-在浏览器中输入路由器的IP地址并登录。

-进入高级设置并选择WAN设置。

-在“DMZ服务器”字段中输入您想要开放给公共网络的服务器的IP 地址。

-保存更改并退出设置。

3. Linksys路由器-在浏览器中输入路由器的IP地址并登录。

-选择“应用和游戏”选项卡，然后单击“单个端口转发”。

-在“外部端口”字段中输入服务的端口号。

-在“内部IP地址”字段中输入服务器的IP地址。

-保存更改并退出设置。

四、总结DMZ功能是一种有用的网络安全策略，可以让内部网络和公共网络分开。

如果您需要将某些服务公开到互联网上或需要允许外部用户访问某些内部资源或应用程序，DMZ可以保护您的网络免受恶意攻击。

1.端口映射
端口映射可以实现从Internet 到局域网内部机器的特定端口服务的访问，这非常适合于内网服务器对外提供服务的场合，使用端口映射的另外一个好处是，可以保护服务器的安全。

规则设置
案例：映射客户机IP192.168.0.35，需要映射TCP4698端口，配置如下图
对外IP：当多线接入时，如果需要针对某一个广域网接口IP映射的话，可以直接填写此广域网IP，或填写接口名，如：eth1、eth2，为空表示所有对外IP。

2.DMZ主机设置
收费版支持最多8条外线，在W AN口支持扩展IP，和免费版在设置上就有所不同，下面分别介绍
免费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 设置DMZ 主机后, 与该IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.。

设置如下图192.168.0.252,192.168.0.253两台服务器
收费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的某台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 如果您有多个广域网IP, 可以分别为每个IP 指定相应的DMZ 主机。

首先启动DMZ功能，新增DMZ主机，如下图
DMZ IP 局域网IP地址
对外IP WAN口IP，或者WAN口扩展IP，为空表示所有对外IP
设置完毕，提交修改，如果还有更多的DMZ主机需要设置，继续新增即可。

一、确定服务器以下网络参数（后面会用到）[本机地址]、[网关地址]、[子网掩码]、[寝室IP地址]1、打开开始菜单，选择运行，输入cmd并回车；2、在打开的命令行窗口里输入ipconfig /all 并回车，可以看到类似下图的结果：3、按上图所示记下[本机地址]、[网关地址]和[子网掩码]。

你机子上的以上三个参数或许和上图有所不同，不过一般[本机地址]类似192.168.x.y ，[网关地址]类似192.168.x.1 ,[子网掩码]一般都是255.255.255.04、为了设置DMZ主机，我们不能使用路由器的DHCP功能，需要手动指定[本机地址]。

在控制面板的网络连接项中，在本地连接上点右键选择属性，可以得到下图：选中Internet协议(TCP/IP)，点击属性，得到如下对话框：按上图所示填写参数，其中IP地址填192.168.x.y，子网掩码填3中获得的[子网掩码]，默认网关填3中获得的[网关地址]，其他按图中填写即可。

5、至于][寝室IP地址]，可以在bbs上发一帖，然后看看帖子最下面显示的IP地址就是你们寝室的][寝室IP地址] ^_^二、设置DMZ主机以下设置以TP-LINK R402路由器为例，其他路由器的设置大同小异，最多是DMZ这个说法不同，如TENDA的就是通透区菜单项。

1、打开浏览器，输入[网关地址]并回车，会看到下图：2、按上图输入用户名和密码登录（注意大小写），进入路由器设置界面如下：3、按上图在左边菜单找到DMZ主机项，填写参数并点击保存；三、ftp服务器端设置以下仅以Serv-U为例，一是因为它比较容易获取（comic上就有），二是因为它比较简单，大多数新手都用的这个。

此处仅讲解和DMZ有关的设置，其他设置请参考精华区其他教程。

1、如下图所示，选中左边域菜单下面的某个域，在右边填写相关参数并保存；其中ftp端口地址建议大家填写非21且较大的端口号，比如2121、8021等等。