端口映射/触发与DMZ主机

第1部分:什么是端口映射/触发?

大家好,无线路由大讲堂第七课今天开讲了!如果有同学错过了前面的课程,要抽出时间来好好补习一下哈,因为我们讲的课程是由浅入深、循序渐进的,从最基础的配置再到现在高级的功能讲解,因此,为了大家能够更好的学习新内容,还是希望大家能够掌握前面所讲的无线知识,好做到融会贯通。我们今天主要讲解的是如何对路由器进行端口映射/触发和设置DMZ主机的课题。

端口映射触发与DMZ主机

什么是端口映射?

端口映射英文全称:Port Mapping。在计算机网络中,端口映射是常说的NAT地址转换的一种,将外网主机IP地址的一个端口映射到内网的台机器上,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。

端口映射有动态和静态之分。

端口映射又叫端口转发,又叫虚拟服务器,各个品牌路由器不同,叫法不一样。但操作是一样的。允许在一台PC上开放多个端口,但每个端口号必须只对应一台PC。这就是端口映射。 设定端口映射时,局域网中服务器的IP地址必须手动指定,因为IP地址一旦变化,端口映射即无法正常工作。 对于现在好一些的路由器,端口映射中都已设定了一些默认支持的应用菜单,对于那些在下拉菜单中业已存在的服务、应用或者游戏来说,只需规定计算机的IP地址即可。在其它情况下则需单击“添加自定义服务”按钮,然后规定各项服务、游戏或者应用的端口号和计算机IP地址。

什么是端口触发?

端口触发英文全称:Port Triggering。在计算机网络中,当一个应用程序使用特定的端口(可视为触发端口)向外建立连接时,路由器将外部连接转发到内部指定的端口(可视为转发端口)上。触发端口和转发端口都可以是一个端口范围,如5000-6000。这类似于端口转发,但不同的是,转发的建立是在触发端口产生一定流量后造成的,即触发后才产生端口转发。一旦触发条件不成立,转发也会结束。这适合于一些网络游戏或P2P下载工具。因为直接使用端口转发的话,可能会造成一定的安全威胁(将自己的某些端口一直暴露在外网上)。

端口触发是一种先进的功能,可用于游戏和其它因特网应用。可以简单理解为动态地实现端口映射的功能。 例如,端口触发暂时打开一个输入端口,如果DHCP改变了你的IP地址,并不需要因特网上的服务器对其进行追踪。 端口触发对出站流量进行监控。路由器检测到某个指定的出站端口上存在流量时,将记住发送了数据并且“触发了”输入端口的计算机的IP地址。随后被触发端口上的输入流量将被转发到触发计算机。

端口映射过程对端口映射过程,举例来讲就是你的商铺位置在某座大楼里面,一些客户来找你,找到该楼的门口,却不知道你店位于哪层哪号?然后咨询前台,前台小姐告诉你店位的详细门牌号码,之后你的客户可以轻松地找到你。这个过程就是外网访问内网通过端口映射的形象比喻。

这里所说的端口,不是计算机硬件的I/O进出端口,而是软件形式上的端口概念,特指TCP/IP协议中的端口,是逻辑意义上的端口。服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。可为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的因素,就是各种服务采用不同的端口来分别提供不同的服务,如WEB采用80端口,FTP采用21端口等。这样,通过不同的端口,计算机就可与外界进行互不干扰的通信了。

第2部分:端口映射的具体设置(1)

何时需要端口映射/触发?

首先,当你希望向internet互联网提供某些服务诸如FTP,IIS,POP3时,就会用到端口映射了。 其次,当你是通过ADSL连接到internet互联网时,某些应用如在线播放、网络游戏、财经软件、BT或eMule等在直接用电脑拨号时都可以正常使用,而在使用路由器后却发现这些应用无法正常使用了,某些情形下,如果你会端口映射/触发设定的话,也是可以解决上述问题的。你可以先咨询这些应用程序的开发商,让他们提供应用程序所使用的端口,然后在路由器上设置相应端口的映射/触发即可。

因为一般默认状态下,路由器的防火墙功能会将用户的局域网隐藏起来。互联网上的其他用户,只能看到路由器,而无法直接访问局域网中的具体某台PC电脑。如果你刚好有上述需求,则必须在路由器上做端口映射,把需要开放的端口映射到局域网中相应的PC,这样,来自因特网的访问到达路由器后,路由器就可以根据端口映射的规则,将数据包转发到这台PC上,从而成功建立通讯。 但值得注意的是,设置端口映射即是将电脑的端口向internet开放,开放的端口越多,承担的安全风险也会越大,所以应当在有必要使用时才使用。

端口映射的具体设置:

将以网件WNR2200无线路由器为例来讲述,局域网网段使用WNR2200的默认设置10.0.0.0网段。

1. 登录路由器管理界面,找到并点击左边功能菜单中的“端口映射/端口触发”。

端口映射触发与DMZ主机

点击左边功能菜单中的“端口映射/端口触发”(红框内)

2. 此页面默认已选择了“端口映射”,在“服务名称”中列出了一些常用的服务,但下面我们以建立一个此列表中没有的服务为例。点击页面下方的“添加自定义服务”。

端口映射触发与DMZ主机

此页面默认已选择“端口映射”

3. 以eMule为例,当在局域网中使用eMule时,通常只能获得LowID,通过端口映射后即可获得HighID了。

(资源丢失)!!!

初始“添加自定义服务”界面(左)和改后界面(右) 在”服务名称”中添加您为此服务的命名,此处我们将其命名为eMule,“服务类型”选择TCP(或者TCP/UDP)。 第

第3部分:端口映射的具体设置(2)

4.“起始端口”和“结束端口”都设置为eMule所使用的端口,如在VeryCD 电驴 v1.2.0中,默认使用的TCP端口是4662,

此参数是在eMule的选项->连接->客户端口中定义的。

端口映射触发与DMZ主机

电驴默认使用的TCP端口是4662 5.设置好端口后,将电脑的IP地址填入“服务器IP地址中”,所以由此可知电脑须使用固定IP地址,不应设置成自动获得IP地址

57907731

设置端口

6.自定义服务设置成功后,在端口映射/端口触发页面会显示出来,重新运行 eMule,eD2K网络中的ID就将是HighID了。

端口映射触发与DMZ主机

设置完成后,路由器对于eMule的端口映射就如红框内显示在界面上 接下来,我们在了解下什么是DMZ主机。

第4部分:关于DMZ主机解析 总结

什么是DMZ主机?

DMZ英文全称是Demilitarized Zone,中文名称为“隔离区”,也称“非军事化区”。在计算机网络中,DMZ主机的设定是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,进而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。

另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。 所以除了设置端口映射/触发,在不明了连接失败的原因或无法确定应用所使用的端口时,解决外网不能访问内网的另一方法就是,可以将使用某应用或提供某服务的电脑设置为DMZ主机。

在NETGEAR宽带路由器中,只能将一台电脑设置成DMZ主机。 在一些家用路由器中,DMZ特指专门一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。这不是严格的DMZ定义,因为该主机仍能访问内部网络的,并非独立于内部网络之外的。但严格的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。

值得注意的是:

·设置为DMZ主机的电脑,其所有端口都会向internet开放,将承担很大的安全风险,所以应当在有必要使用时才使用。

·当设置了DMZ主机后,所有端口的映射都将指向DMZ主机,指向其他电脑的端口映射将无效。

设置DMZ主机的步骤:

1. 登录路由器管理页面,找到并点击左边功能菜单中的WAN设置。

端口映射触发与DMZ主机

找到并点击左边功能菜单中的WAN设置(见红框)

2. 在WAN设置页面中的”缺省DMZ服务器”前打勾,然后将欲作为DMZ主机的电脑的IP地址填入,所以电脑的IP地址须是固定(手工设置)的,而不是自动获得。

端口映射触发与DMZ主机

打勾然后将作为DMZ主机的电脑IP地址填入(见红框)

总结:设置简单,但有一定的安全风险。

通过上面的详细介绍,相信大家已经了解了如何处置外网不能访问有路由器内网的一些网络情况。

现在我们再来回顾一下这堂课的内容,对于端口映射/触发只要知道了所设置应用程序的端口,那么把它添加到路由器设定界面的端口映射表中即可;而对于设置DMZ主机,把作为DMZ主机的电脑IP地址填入到“WAN设置”界面即可。

怎么样,很简单吧?但要提醒同学们的是,设置端口映射和设置为DMZ主机的电脑,都将会有一定的安全风险,建议在有必要时再使用或用后删除设置端口映射和DMZ主机状态。

未经允许不得转载:下一个 » 端口映射/触发与DMZ主机

赞 (0) 打赏

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏