如何进行DNAT方式的公网映射(端口映射)

1.端口映射
端口映射可以实现从Internet 到局域网内部机器的特定端口服务的访问，这非常适合于内网服务器对外提供服务的场合，使用端口映射的另外一个好处是，可以保护服务器的安全。

规则设置
案例：映射客户机IP192.168.0.35，需要映射TCP4698端口，配置如下图
对外IP：当多线接入时，如果需要针对某一个广域网接口IP映射的话，可以直接填写此广域网IP，或填写接口名，如：eth1、eth2，为空表示所有对外IP。

2.DMZ主机设置
收费版支持最多8条外线，在W AN口支持扩展IP，和免费版在设置上就有所不同，下面分别介绍
免费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的一台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 设置DMZ 主机后, 与该IP 相关的防火墙设置将不起作用, 且端口映射功能自动失效.。

设置如下图192.168.0.252,192.168.0.253两台服务器
收费版DMZ主机设置
在某些特殊情况下, 需要让局域网中的某台计算机完全暴露给Internet, 以实现双向通信, 此时可以把该计算机设置为DMZ(非军事区) 主机. 如果您有多个广域网IP, 可以分别为每个IP 指定相应的DMZ 主机。

首先启动DMZ功能，新增DMZ主机，如下图
DMZ IP 局域网IP地址
对外IP WAN口IP，或者WAN口扩展IP，为空表示所有对外IP
设置完毕，提交修改，如果还有更多的DMZ主机需要设置，继续新增即可。

端口映射（vip）
Netsork—list
找到你设置的外网口（Untrust），比如SSG5中
点击Edit
在Properties中找到VIP点击
如果你有多个外网IP地址，你可以选择填入你的Virtual IP Address
如果ISP只给你一个或者你通过PPPOE方式你可以选择Same as the untrusted interface IP address（与外网口相同的IP地址）
点击ADD按钮
然后你找到点击
会出来设置菜单
你可以根据你的需要填入你虚拟的IP端口，需要的服务，内网的IP地址
点击OK
然后就是要增加一条策略了。

在Policies中
增加一条Untrust到Global的策略
按照图示修改
源地址是ANY，目标地址为前面设置的VIP
其他根据自己的需要修改，可以选择为Permit 其他为None。

至此端口映射(VIP)就做好了。

外网映射原理外网映射原理指的是将内部网络中的局域网设备通过路由器配置，使其可以通过公共互联网访问。

外网映射技术通常使用网络地址转换（NAT）来实现。

在一个典型的局域网中，所有设备都连接到一个路由器。

该路由器负责将来自局域网的数据包转发到正确的设备上。

然而，当一个设备想要通过互联网连接到外部服务时（如访问网站或使用某个在线应用），由于这些设备拥有私有IP地址，并不能直接从互联网上访问。

这就需要使用外网映射来建立起内部设备与外部服务之间的通信。

外网映射原理是通过将公网IP地址和端口号映射到内部设备的私有IP地址和端口号上来实现的。

当内部设备向外部服务发送请求时，路由器会将请求发送到正确的目的地，并将响应传递回内部设备。

具体实现外网映射的方式有两种：端口映射和UPnP （Universal Plug and Play）。

1. 端口映射：通过在路由器上配置端口映射规则，将外部的公网IP地址和端口号映射到内部设备的私有IP地址和端口号上。

当外部服务通过公网IP地址和端口号发送请求时，路由器会将请求转发到对应的内部设备上。

这样，内部设备就可以通过端口映射与外部服务进行通信。

举个例子，如果某个设备在局域网中的IP地址是192.168.1.100，通过配置端口映射规则，将公网IP地址的8080端口映射到192.168.1.100的80端口上。

当外部服务通过公网IP地址和8080端口发送请求时，路由器会将请求转发到192.168.1.100的80端口上，从而实现内部设备与外部服务的通信。

2. UPnP：UPnP是一种自动配置网络设备的协议，它可以动态地在路由器上创建端口映射规则。

当设备通过UPnP协议请求创建一个端口映射规则时，路由器会自动为该设备创建一个映射。

UPnP使得设备可以更简单地与外部服务进行通信，而无需手动配置端口映射规则。

总的来说，外网映射原理是通过将公网IP地址和端口号映射到内部设备的私有IP地址和端口号上，使得内部设备能够与外部服务进行通信。

VPN中的IP地址映射与端口转发在虚拟专用网络（VPN）中，IP地址映射和端口转发是两个关键的概念。

它们在确保网络连接安全和数据传输的顺畅方面起着重要的作用。

本文将深入探讨VPN中的IP地址映射和端口转发的原理、应用以及相关的技术。

一、IP地址映射1.1 IP地址映射概述IP地址映射是指将一个IP地址转换成另一个IP地址的过程。

在VPN中，IP地址映射通常用于隐藏真实的IP地址，以保护用户的隐私和提高网络安全性。

1.2 IP地址映射的原理在VPN中，IP地址映射可通过多种技术实现，其中最常用的是网络地址转换（Network Address Translation, NAT）。

NAT将内部网络的私有IP地址映射为公共IP地址，使得内部网络的真实IP地址对外部网络不可见。

这种映射方式有效地保护了内部网络的安全性。

1.3 IP地址映射的应用IP地址映射在VPN中有多种应用场景。

首先，它可以用于实现远程访问。

比如，在企业VPN中，远程员工可以通过映射的IP地址安全地访问公司内部资源。

其次，IP地址映射还可以用于实现匿名浏览。

通过将真实IP地址映射为其他虚拟的IP地址，用户可以在互联网上匿名浏览，增加网络隐私与安全。

二、端口转发2.1 端口转发概述端口转发是指将数据包从一个端口转发到另一个端口的过程。

在VPN中，端口转发被广泛应用于路由器和防火墙等设备上，以实现不同网络之间的数据传输和连接。

2.2 端口转发的原理在VPN中，端口转发通过在路由器或防火墙上设置规则实现。

这些规则指定了源端口和目标端口之间的对应关系，以确保数据包能够正确地转发到目标设备。

通过端口转发，VPN可以实现跨网络的数据传输和连接。

2.3 端口转发的应用端口转发在VPN中有多种应用场景。

例如，它可以用于实现远程桌面访问，允许用户通过VPN安全地访问远程计算机的桌面界面。

此外，端口转发还可以用于搭建虚拟内网，将多个内部网络连接起来，实现资源共享和数据传输。

Linux端口映射什么是端口映射？在计算机网络中，端口映射（Port Forwarding）是一种将网络流量从一个网络接口（通常是局域网）转发到另一个网络接口（通常是广域网）的技术。

通过端口映射，用户可以从外部网络访问局域网内的网络服务。

常见的端口映射方式1.本地端口转发本地端口转发是指将外部网络的请求转发到本地主机上的某个服务端口。

这种方式常用于将外网的请求转发到局域网内的服务器上。

在Linux系统中，可以通过使用iptables和ssh 命令来实现本地端口转发。

对于iptables方式的本地端口转发，可以使用以下命令：iptables -t nat -A PREROUTING -p tcp --dport <外部端口> -j DNAT --to-destination <内部IP>:<内部端口>对于ssh方式的本地端口转发，可以使用以下命令：ssh -L <本地端口>:<内部IP>:<内部端口> <用户名>@<跳板机IP>2.远程端口转发远程端口转发是指将本地网络的请求转发到远程主机上的某个服务端口。

这种方式常用于在防火墙或NAT设备后部署服务器的情况，可以通过远程端口转发将外部网络的请求转发到服务器上。

在Linux系统中，可以通过使用ssh命令来实现远程端口转发。

具体命令如下：ssh -R <远程端口>:localhost:<本地端口> <用户名>@ <远程主机IP>端口映射的应用场景端口映射在实际应用中有许多用途，以下列举了一些常见的应用场景：1.建立远程桌面连接通过端口映射，可以将内网中的计算机的远程桌面服务暴露给外网，从而实现通过互联网远程访问内网中的计算机。

这在远程办公、远程技术支持等场景下非常常见。

2.搭建Web服务器如果在内网中搭建了一个Web服务器，但是想要外网访问该服务器上的网站，可以使用端口映射将外部网络的请求转发到服务器上的HTTP端口，从而实现外网访问内网Web服务器的目的。

VPN中的IP地址转换与映射方法在VPN中，IP地址的转换与映射方法是实现网络连接和数据传输的重要环节。

本文将介绍几种常见的VPN中的IP地址转换与映射方法，包括NAT（网络地址转换）、PAT（端口地址转换）以及VPN隧道中的IP地址映射技术。

一、NAT（网络地址转换）NAT是一种在IPv4网络中广泛使用的技术，它将私有IP地址转换为公共IP地址，实现内网与外网之间的通信。

在VPN中，NAT技术被用于将内部网络中的私有IP地址映射到VPN网关的公共IP地址上，使得VPN内部网络与外部网络可以进行通信。

NAT技术的转换过程主要包括地址转换和端口转换。

地址转换通过修改IP数据包的源IP地址和目标IP地址来实现，端口转换则通过修改端口号来实现。

这样，VPN内部的私有IP地址可以与外部的公共IP地址进行转换，实现内网与外网之间的无缝通信。

二、PAT（端口地址转换）PAT是在NAT基础上发展而来的一种更加灵活的地址转换技术。

它除了可以转换IP地址外，还可以转换端口号，从而实现多个内网主机通过一个公共IP地址与外网通信。

在VPN中，PAT技术可以使得多个VPN用户共享同一个公共IP地址，并且通过不同的端口号来区分不同的用户。

这种方式节约了公共IP地址资源，并且提高了网络的安全性。

三、IP地址映射技术在VPN隧道中，由于VPN客户端与服务器之间的网络环境不同，IP地址的映射是必要的。

IP地址映射技术可以实现不同子网之间的通信，使得来自不同网络的流量可以正确地转发到目标主机。

常见的IP地址映射技术有静态映射和动态映射两种方式。

静态映射是在VPN隧道建立之前，通过手动配置将内部网络的IP地址与外部网络的IP地址进行绑定，来实现地址映射。

动态映射则是在隧道建立后，通过协议交换的方式来动态地映射IP地址。

总结：VPN中的IP地址转换与映射方法是确保网络连接和数据传输顺利进行的重要环节。

NAT和PAT技术可以将内部网络的私有IP地址转换为公共IP地址，实现内网与外网之间的通信。

端口映射（PPPoE）By:成都400 Luky端口映射功能：主要是将防火墙WAN的公网IP地址的某个端口或某一段的端口映射到局域网的某台PC 的IP地址，实现从Internet的用户能通过WAN公网IP访问内部局域网的某一应用或程序。

此案例以映射http及FTP服务为例，通过映射http 80端口，让外网的电脑通过访问防火墙WAN口IP即可访问到防火墙LAN口所连接的192.168.10.50服务器上的服务型号：DFL-860E firmware：2.40.03注：配置映射前先确保服务器通过防火墙可正常上网，且服务器的服务已正常启用1. 新建对象a.新建服务器IP点击“对象－－－地址簿”，点击“添加―――IP4地址”名称：随便取一名字；地址：输入内网需要映射的服务器IP，点击“OK”b.新建映射服务端口点击“对象――服务”防火墙已将HTTP等常用服务定义好了，但若服务在“服务”中找不到，则需点击“添加－TCP/UDP服务”增加服务2．建立映射规则a.点击“规则――IP规则”，点击“添加――IP规则”名称：随便取一名字操作：SAT （即映射）服务：选择在对象里创建的服务名源接口：any 源网络：all-nets （表示允许所有网络都能访问）目的地：Core 目的网络：wan1_ip （表示把服务映射到防火墙的WAN1口IP）注意：目的网络为wan1_ip，不要选择成了wan1_phys_ip点击“SAT”选项卡新IP地址：选择在对象里创建的内网服务器IP名，点击“OK”b.点击“规则――IP规则”，点击“添加――IP规则”名称：随便取一名字操作：NAT服务：选择在对象里创建的服务名源接口：lan 源网络：lannet目的地：core 目的网络：all-nets ，点击“OK”c.点击“规则――IP规则”，点击“添加――IP规则”名称：随便取一名字操作：allow服务：选择在对象里创建的服务名源接口：any 源网络：all-nets目的地：Core 目的网络：wan1_ip保证规则的顺序如下：SAT在最前面、NAT在中间、Allow在最后面e.点击“状态－接口”，查看当前wan1口IP3.验证结果外网PC输入防火墙WAN口IP，即可访问到内部服务器的服务了。

SANGFOR_AD_6.4_端口映射配置指导深信服科技有限公司文档编号审核修订记录版本时间修订内容1.02016年7月目录1介绍 (3)1.1文档说明 (3)1.2读者对象 (3)1.3使用反馈 (3)2应用场景 (3)3WAN-LAN的端口映射 (4)4LAN-LAN的端口映射 (5)5注意事项 (8)1介绍1.1文档说明本文档深信服公司及其许可者版权所有，并保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。

1.2读者对象本配置指导文档主要适用于如下工程师：✓网络或应用管理人员✓现场技术支持与维护人员✓负责网络配置和维护的网络管理员1.3使用反馈如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术社区：感谢您的支持与反馈，我们将会做的更好！2应用场景由于公网IP匮乏，或出于安全因素，企业内网常常都是采用私有IP规划自身的网络，而如果内网有服务器需要让公网用户正常访问，而私有IP是不为公网用户访问到的，这时候，就需要在网络出口（有公网IP）上做端口映射，以达到该需求。

该文档主要讲述当我们深信服AD设备作为网络出口时设备上的端口映射怎么配置来达到客户访问需求。

3WAN-LAN的端口映射案例：现在AD设备网关模式部署，WAN口地址为202.96.137.75，局域网内部有一台IP为192.168.100.250的服务器要对外网提供80端口的web服务，现在外网的用户想要通过访问AD的WAN 口地址来访问内网的服务器80端口的web服务。

配置方法及截图：配置一条入接口为设备外网口的端口映射，具体配置说明如下：『名称』用于设置该端口映射规则的名称。

linux端口映射命令是什么怎么用端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

而在linux 环境下进行端口映射shell则需要使用iptables命令，具体步骤见下文linux端口映射命令介绍。

linux端口映射命令：情形一：跨网络、跨主机的映射Full-Nat我们想到达主机B的80端口，但是由于网络限制可能无法直接完成。

但是我们可以到达主机A的8080端口，而主机A可以直接到达B的80端口。

这时候可以使用iptables，将主机B的80端口映射到主机A的8080端口，通过访问A的8080相当于访问B的80。

实现如下：在主机A上直接如下命令，实现端口映射的Full-Nat01#!/bin/bash02pro='tcp'03NAT_Host='Host_A'04NAT_Port=808005Dst_Host='Host_B'06Dst_Port=8007iptables -t nat -A PREROUTING -m -p --dport -j DNAT --to-destination :08iptables -t nat -A POSTROUTING -m -p --dport -d -j SNAT --to-source说明：NAT_Pro表示NAT的协议，可以是tcp或udpNAT_Host表示中间做端口映射的主机。

这里也就是主机ANAT_Port表示中间做端口映射的端口。

这里也就是主机A的8080口Dst_Host表示被NAT的主机。

这里也就是主机BDst_Host表示被NAT的端口。

这里也就是主机B的80口情形二：主机内部的端口重定向我们可能需要将访问主机的7979端口映射到8080端口。

也可以iptables重定向完成。

虚拟机端口映射的方法
虚拟机端口映射的方法有多种，以下为您提供两种常见的方法。

方法一：
●Vmware虚拟网络设置：打开Vmware，点击“编辑”，选择“虚拟网络编辑器”。

在弹
出框选择“NAT模式”，点击“更改设置”，然后点击之后可以根据自己需要修改虚拟机网关。

点击“NAT模式”，选择“NAT设置”。

在“端口转发”下边选择“添加”。

添加端口，然后进行保存。

●通过映射的端口进行连接测试：登录之后查看ip: ip addr。

然后在主机防火墙开放端口。

同时按Win + R ，输入control 进入控制面板。

选择“系统和安全”，选择“防火墙”
设置。

选择左侧的“高级设置”。

入防火墙的“高级设置”之后，选择“入站规则”，然后点击“新建规则”。

选择“端口”。

选择“TCP”—选择“特定本地端口”，并填写端口(需要和前边Vmware 中设置的一致)。

给新建的规则起名。

方法二：
●登录路由器之后，找到并进入应用管理，点击里面的应用中心。

●在应用中心里面找到虚拟服务器，然后点击进入。

●进入到虚拟服务器之后，点击添加按钮。

●然后依次填入外部端口号、内部端口号，服务器的IP地址等。

●虚拟服务器添加端口映射完成，则可进行外网访问了，访问的时候在IP地址后面添加
端口号。

综上，以上两种方法仅供参考，操作可能因实际情况而有所不同，建议咨询相关技术人员以获得更具体的指导。