簡介
連線埠映射就是將外網主機的IP位址的一個連線埠映射到區域網路中一台機器,提供相應的服務。當用戶訪問該IP的這個連線埠時,伺服器自動將請求映射到對應區域網路內部的機器上。連線埠映射有動態和靜態之分。
通俗來講,連線埠映射是將一台主機的區域網路(LAN)IP位址映射成一個公網(WAN)IP位址,當用戶訪問提供映射連線埠主機的某個連線埠時,伺服器將請求轉移到本地區域網路內部提供這種特定服務的主機;利用連線埠映射功能還可以將一台外網IP位址機器的多個連線埠映射到區域網路不同機器上的不同連線埠。 連線埠映射功能還可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等協定。理論上可以提供65535(總連線埠數)-1024(保留連線埠數)=64511個連線埠的映射。
舉例說明如何設定連線埠映射:例如要映射一台IP位址為192.168.111.10的WEB伺服器,只需把伺服器的IP位址192.168.111.10和提供web服務的TCP連線埠80填入到路由器的連線埠映射表中即可。
功能
連線埠映射(Port Mapping):
很多客戶每天都問為什麼要連線埠映射?例如:通過
路由器上網的,網站自己可以訪問,但是別人就不能;輸入
127.0.0.1可以訪問,別人還是看不到;輸入localhost可以看到,但是別人就是看不到,氣人啊~沒辦法,只有進行連線埠映射了
連線埠映射過程就如同:舉個例子,你家在某一小區一號樓,你的朋友來找你,找到小區門口,不知道你住在幾層,然後問保全,保全查到你的名字然後告訴你在幾樓,所以你的朋友很輕鬆的找到了你的家,在這個過程中,保全通過業主的名字查到業主的門牌號這就是一種映射關係。
術語
專業術語。
我們這裡所說的連線埠,不是
計算機硬體的I/O進出連線埠,而是
軟體形式上的概念。
為什麼一台伺服器可以同時提供那么多的服務呢?其中一個很主要的方面,就是各種服務採用不同的連線埠分別提供不同的服務,比如:WEB採用80連線埠,FTP採用21連線埠等。這樣,通過不同連線埠,
計算機與外界進行互不干擾的通信。我們這裡所指的連線埠不是指物理意義上的連線埠,而是特指
TCP/IP協定中的連線埠,是邏輯意義上的連線埠。
分類
區域網路的一台電腦要上網際網路對外開放服務或接收數據,都需要連線埠映射。
連線埠映射分為動態和靜態。動態連線埠映射:
區域網路中的一台電腦要訪問網站,會向NAT
網關傳送
數據包,
包頭中包括對方網站IP、連線埠和本機IP、連線埠,NAT
網關會把本機IP、連線埠替換成自己的公網IP、一個未使用的連線埠,並且會記下這個映射關係,為以後轉發數據包使用。然後再把數據發給網站,網站收到數據後做出反應,傳送數據到NAT
網關的那個未使用的連線埠,然後NAT網關將數據轉發給
區域網路中的那台電腦,實現區域網路和公網的通訊.當連線關閉時,NAT網關會釋放分配給這條連線的連線埠,以便以後的連線可以繼續使用。
靜態連線埠映射::就是在NAT
網關上開放一個固定的連線埠,然後設定此連線埠收到的數據要轉發給
區域網路哪個IP和連線埠,不管有沒有連線,這個映射關係都會一直存在。就可以讓公網主動訪問
區域網路的一台電腦。
套用
首先,我們將vidcs.exe傳到公網IP上,在公網
計算機上運行vidcs –p連線埠,如vidcs –p5205。
這句話的意思是在公網
計算機上監聽連線埠 5205 然後回到
區域網路計算機上,直接點擊運行vIDCs.exe
解釋一下上面的設定、 VIDC服務IP,指運行了vidcs.exe進行監聽了連線埠的IP位址,連線埠指是在公網上監聽的連線埠,上面我監聽的是5205連線埠,bindip指你要開放出去的
區域網路的IP, Bind連線埠指你區域網路
計算機需要開放的連線埠(FTP伺服器連線埠為21, WEB 服務連線埠為80, mail服務連線埠25)你想開放哪個就填哪個吧。
映射連線埠指你想通過公網哪個連線埠提供服務。連線埠由你定,填好之後我們點“連線”,馬上就到收到提示Success to Connect(210.210.21.21、5205,ver、1.2),說明連線成功。繼續點”bind”,同樣會收到成功的提示。
這樣,你的機子的80連線埠就開放出去了。 訪問方法 http://公網ip:
映射連線埠。
如 http://210.210.210.210:808
WinRoute Pro連線埠
WinRoute Pro是一個工作於NAT(
網路地址翻譯)方式的Internet共享
軟體。它本身自帶了連線埠映射功能。
運行WinRoute Administration並登錄,在主選單上選擇“Settings→ Advanced→Port Mapping”,出現連線埠映射的設定界面。連線埠映射條目的添加。 可以設定的選項包括協定、監聽連線埠、連線埠類型(單一連線埠還是某個範圍的連續連線埠)、目的
主機、目的連線埠等。
路由器連線埠
在企業
路由套用技術中,很多企業常常要用到連線埠映射來完成,
路由器基本上都己經支持了連線埠映射,我們用TP路由器來舉例如何使用連線埠映射功能,進入TPlink路由器,因為連線埠映射就是轉發,所以我們來到轉發規則裡面來設定,選擇特殊應用程式,添加新條目,觸發連線埠輸入你要轉發的連線埠,比如我需要映射21連線埠,那么我就填寫21,觸發協定不要修改,ALL代表支持所有協定,開放連線埠同樣輸入我們需要轉發的連線埠,填寫21,開放協定同樣不需要修改,選擇ALL,狀態選擇生效,然後保存,到這裡連線埠映射規則就全部添加完成了,下面就己經生效了。
防火牆連線埠
一、思科防火牆接口的基本配置:
enable
conf t
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 222.100.102.110 255.255.255.240
exit
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.36.50.97 255.255.255.224
exit
access-list outside-acl line 1 extended permit icmp any any
access-list inside-acl line 1 extended permit icmp any any
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 222.100.102.97 1 //靜態路由
二、地址映射及連線埠映射:
global (outside) 1 interface //global命令關鍵字與nat結合使用,表示nat列表中的出口地址為global語句中的outside接口地址
nat (inside) 1 10.36.50.100 255.255.255.255 //此命令表示區域網路地址10.36.50.100通過outside接口地址222.100.102.110訪問外部網路
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 80 //開啟10.36.50.100訪問外部www的許可權
access-list inside-acl line 1 extended permit tcp host 10.36.50.100 any eq 443 //開啟10.36.50.100訪問外部https的許可權
以下是連線埠映射,利用outside接口地址222.100.102.110的連線埠代表區域網路地址10.36.50.99的連線埠,命令行中外部地址的連線埠與內
部地址的連線埠可以不相同: static (inside,outside) tcp interface 80 10.36.50.99 80 netmask 255.255.255.255
static (inside,outside) tcp interface 443 10.36.50.99 443 netmask 255.255.255.255
static (inside,outside) tcp interface 5800 10.36.50.99 5800 netmask 255.255.255.255
static (inside,outside) tcp interface 5900 10.36.50.99 5900 netmask 255.255.255.255
由於使用了訪問控制列表,所以要寫入以下表項開啟許可權,使外部網路可以訪問內部連線埠(只開通了外部訪問內部):
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.110 eq 80
說明:此例映射了內部連線埠80,443,5800,5900。
以下是靜態地址映射及開通訪問列表(只開通了外部訪問內部):
static (inside,outside) 222.100.102.98 10.36.50.98 netmask 255.255.255.255
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5900
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 5800
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 443
access-list outside-acl line 1 extended permit tcp any host 222.100.102.98 eq 80