|
簡(jiǎn)介
端口映射就是將外網(wǎng)主機(jī)的IP地址的一個(gè)端口映射到內(nèi)網(wǎng)中一臺(tái)機(jī)器�,提供相應(yīng)的服務(wù)�����。當(dāng)用戶訪問(wèn)該IP的這個(gè)端口時(shí)�����,服務(wù)器自動(dòng)將請(qǐng)求映射到對(duì)應(yīng)局域網(wǎng)內(nèi)部的機(jī)器上。端口映射有動(dòng)態(tài)和靜態(tài)之分�����。[1]
通俗來(lái)講���,端口映射是將一臺(tái)主機(jī)的內(nèi)網(wǎng)(LAN)IP地址映射成一個(gè)公網(wǎng)(WAN)IP地址���,當(dāng)用戶訪問(wèn)提供映射端口主機(jī)的某個(gè)端口時(shí),服務(wù)器將請(qǐng)求轉(zhuǎn)移到本地局域網(wǎng)內(nèi)部提供這種特定服務(wù)的主機(jī)����;利用端口映射功能還可以將一臺(tái)外網(wǎng)IP地址機(jī)器的多個(gè)端口映射到內(nèi)網(wǎng)不同機(jī)器上的不同端口。 端口映射功能還可以完成一些特定代理功能�����,比如代理POP�����,SMTP,TELNET等協(xié)議�。理論上可以提供65535(總端口數(shù))-1024(保留端口數(shù))=64511個(gè)端口的映射。[1]
舉例說(shuō)明如何設(shè)置端口映射:例如要映射一臺(tái)IP地址為192.168.111.10的WEB服務(wù)器����,只需把服務(wù)器的IP地址192.168.111.10和提供web服務(wù)的TCP端口80填入到路由器的端口映射表中即可。[1]
功能
端口映射(Port Mapping):
很多客戶每天都問(wèn)為什么要端口映射����?例如:通過(guò)路由器上網(wǎng)的,網(wǎng)站自己可以訪問(wèn)��,但是別人就不能�����;輸入127.0.0.1可以訪問(wèn)�,別人還是看不到���;輸入localhost可以看到�����,但是別人就是看不到��,氣人啊~沒(méi)辦法�,只有進(jìn)行端口映射了[1]
(路由器端口映射--本教程適合所有Tplink-TLR-402系列路由器下架設(shè)的網(wǎng)站服務(wù)器、郵件服務(wù)器���、私服服務(wù)器����、監(jiān)控服務(wù)器����、遠(yuǎn)程服務(wù)器、管家婆金蝶等財(cái)務(wù)管理服務(wù)器����、VPN、ERP���、ftp服務(wù)器等等的端口映射方法)[1]
端口映射過(guò)程就如同:舉個(gè)例子�����,你家在某一小區(qū)一號(hào)樓���,你的朋友來(lái)找你,找到小區(qū)門口,不知道你住在幾層����,然后問(wèn)保安,保安查到你的名字然后告訴你在幾樓����,所以你的朋友很輕松的找到了你的家,在這個(gè)過(guò)程中����,保安通過(guò)業(yè)主的名字查到業(yè)主的門牌號(hào)這就是一種映射關(guān)系。[1]
術(shù)語(yǔ)
專業(yè)術(shù)語(yǔ)�。
在網(wǎng)絡(luò)技術(shù)中,端口(英文Port)有好幾種意思����。集線器、交換機(jī)����、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口���,如RJ-45端口����、Serial端口等。[1]
我們這里所說(shuō)的端口���,不是計(jì)算機(jī)硬件的I/O進(jìn)出端口�����,而是軟件形式上的概念�����。[1]
服務(wù)器可以向外提供多種服務(wù)���,比如,一臺(tái)服務(wù)器可以同時(shí)是WEB服務(wù)器����,也可以是FTP服務(wù)器,同時(shí)����,它也可以是郵件服務(wù)器。[1]
為什么一臺(tái)服務(wù)器可以同時(shí)提供那么多的服務(wù)呢�?其中一個(gè)很主要的方面���,就是各種服務(wù)采用不同的端口分別提供不同的服務(wù),比如:WEB采用80端口��,FTP采用21端口等���。這樣�����,通過(guò)不同端口��,計(jì)算機(jī)與外界進(jìn)行互不干擾的通信���。我們這里所指的端口不是指物理意義上的端口,而是特指TCP/IP協(xié)議中的端口����,是邏輯意義上的端口。[1]
分類
內(nèi)網(wǎng)的一臺(tái)電腦要上因特網(wǎng)對(duì)外開(kāi)放服務(wù)或接收數(shù)據(jù)���,都需要端口映射�����。[1]
端口映射分為動(dòng)態(tài)和靜態(tài)���。動(dòng)態(tài)端口映射:內(nèi)網(wǎng)中的一臺(tái)電腦要訪問(wèn)網(wǎng)站,會(huì)向NAT網(wǎng)關(guān)發(fā)送數(shù)據(jù)包���,包頭中包括對(duì)方網(wǎng)站IP���、端口和本機(jī)IP、端口��,NAT網(wǎng)關(guān)會(huì)把本機(jī)IP�、端口替換成自己的公網(wǎng)IP、一個(gè)未使用的端口����,并且會(huì)記下這個(gè)映射關(guān)系,為以后轉(zhuǎn)發(fā)數(shù)據(jù)包使用�����。然后再把數(shù)據(jù)發(fā)給網(wǎng)站����,網(wǎng)站收到數(shù)據(jù)后做出反應(yīng)���,發(fā)送數(shù)據(jù)到NAT網(wǎng)關(guān)的那個(gè)未使用的端口,然后NAT網(wǎng)關(guān)將數(shù)據(jù)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)中的那臺(tái)電腦��,實(shí)現(xiàn)內(nèi)網(wǎng)和公網(wǎng)的通訊.當(dāng)連接關(guān)閉時(shí)�,NAT網(wǎng)關(guān)會(huì)釋放分配給這條連接的端口,以便以后的連接可以繼續(xù)使用���。[1]
動(dòng)態(tài)端口映射其實(shí)也就是NAT網(wǎng)關(guān)的工作方式��。[1]
靜態(tài)端口映射::就是在NAT網(wǎng)關(guān)上開(kāi)放一個(gè)固定的端口�����,然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)哪個(gè)IP和端口���,不管有沒(méi)有連接,這個(gè)映射關(guān)系都會(huì)一直存在�。就可以讓公網(wǎng)主動(dòng)訪問(wèn)內(nèi)網(wǎng)的一臺(tái)電腦。[1]
應(yīng)用
首先����,我們將vidcs.exe傳到公網(wǎng)IP上,在公網(wǎng)計(jì)算機(jī)上運(yùn)行vidcs –p端口���,如vidcs –p5205����。[1]
這句話的意思是在公網(wǎng)計(jì)算機(jī)上監(jiān)聽(tīng)端口 5205 然后回到內(nèi)網(wǎng)計(jì)算機(jī)上��,直接點(diǎn)擊運(yùn)行vIDCs.exe[1]
解釋一下上面的設(shè)置��、 VIDC服務(wù)IP���,指運(yùn)行了vidcs.exe進(jìn)行監(jiān)聽(tīng)了端口的IP地址���,端口指是在公網(wǎng)上監(jiān)聽(tīng)的端口,上面我監(jiān)聽(tīng)的是5205端口����,bindip指你要開(kāi)放出去的內(nèi)網(wǎng)的IP, Bind端口指你內(nèi)網(wǎng)計(jì)算機(jī)需要開(kāi)放的端口(FTP服務(wù)器端口為21�����, WEB 服務(wù)端口為80�, mail服務(wù)端口25)你想開(kāi)放哪個(gè)就填哪個(gè)吧。[1]
映射端口指你想通過(guò)公網(wǎng)哪個(gè)端口提供服務(wù)�����。端口由你定,填好之后我們點(diǎn)“連接”��,馬上就到收到提示Success to Connect(210.210.21.21�����、5205,ver�����、1.2)���,說(shuō)明連接成功�。繼續(xù)點(diǎn)”bind”�����,同樣會(huì)收到成功的提示���。
這樣���,你的機(jī)子的80端口就開(kāi)放出去了�����。 訪問(wèn)方法 http://公網(wǎng)ip:映射端口���。[1]
如 http://210.210.210.210:808
WinRoute Pro端口
WinRoute Pro是一個(gè)工作于NAT(網(wǎng)絡(luò)地址翻譯)方式的Internet共享軟件。它本身自帶了端口映射功能���。
運(yùn)行WinRoute Administration并登錄,在主菜單上選擇“Settings→ Advanced→Port Mapping”�,出現(xiàn)端口映射的設(shè)置界面。端口映射條目的添加�。 可以設(shè)置的選項(xiàng)包括協(xié)議、監(jiān)聽(tīng)端口����、端口類型(單一端口還是某個(gè)范圍的連續(xù)端口)、目的主機(jī)���、目的端口等���。[1]
路由器端口
在企業(yè)路由應(yīng)用技術(shù)中,很多企業(yè)常常要用到端口映射來(lái)完成,路由器基本上都己經(jīng)支持了端口映射���,我們用TP路由器來(lái)舉例如何使用端口映射功能��,進(jìn)入TPlink路由器����,因?yàn)?a href='http://www.sekulawhitetailranch.com/DetailInfo.aspx?nid=1892' target='_blank'>端口映射就是轉(zhuǎn)發(fā)���,所以我們來(lái)到轉(zhuǎn)發(fā)規(guī)則里面來(lái)設(shè)置���,選擇特殊應(yīng)用程序,添加新條目���,觸發(fā)端口輸入你要轉(zhuǎn)發(fā)的端口�����,比如我需要映射21端口��,那么我就填寫(xiě)21��,觸發(fā)協(xié)議不要修改��,ALL代表支持所有協(xié)議���,開(kāi)放端口同樣輸入我們需要轉(zhuǎn)發(fā)的端口�����,填寫(xiě)21�,開(kāi)放協(xié)議同樣不需要修改�,選擇ALL,狀態(tài)選擇生效��,然后保存����,到這里端口映射規(guī)則就全部添加完成了��,下面就己經(jīng)生效了����。[1]
防火墻端口
一、思科防火墻接口的基本配置:
enable
conf t
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 222.100.102.110 255.255.255.240
exit
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.36.50.97 255.255.255.224
exit
access-list outside-acl line 1 extended permit icmp any any
access-list inside-acl line 1 extended permit icmp any any
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 222.100.102.97 1 //靜態(tài)路由[1]
二����、地址映射及端口映射:
global (outside) 1 interface //global命令關(guān)鍵詞與nat結(jié)合使用,表示nat列表中的出口地址為global語(yǔ)句中的outside接口地址
nat (inside) 1 10.36.50.100 255.255.255.255 //此命令表示內(nèi)網(wǎng)地址10.36.50.100通過(guò)outside接口地址222.100.102.110訪問(wèn)外部網(wǎng)絡(luò)
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 80 //開(kāi)啟10.36.50.100訪問(wèn)外部www的權(quán)限
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 443 //開(kāi)啟10.36.50.100訪問(wèn)外部https的權(quán)限
以下是端口映射,利用outside接口地址222.100.102.110的端口代表內(nèi)網(wǎng)地址10.36.50.99的端口���,命令行中外部地址的端口與內(nèi)
部地址的端口可以不相同:
static (inside,outside) tcp interface 80 10.36.50.99 80 netmask 255.255.255.255
static (inside,outside) tcp interface 443 10.36.50.99 443 netmask 255.255.255.255
static (inside,outside) tcp interface 5800 10.36.50.99 5800 netmask 255.255.255.255
static (inside,outside) tcp interface 5900 10.36.50.99 5900 netmask 255.255.255.255
由于使用了訪問(wèn)控制列表����,所以要寫(xiě)入以下表項(xiàng)開(kāi)啟權(quán)限����,使外部網(wǎng)絡(luò)可以訪問(wèn)內(nèi)部端口(只開(kāi)通了外部訪問(wèn)內(nèi)部):
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 80
說(shuō)明:此例映射了內(nèi)部端口80,443,5800,5900。
以下是靜態(tài)地址映射及開(kāi)通訪問(wèn)列表(只開(kāi)通了外部訪問(wèn)內(nèi)部):
static (inside,outside) 222.100.102.98 10.36.50.98 netmask 255.255.255.255
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 80
|