关于“端口映射”的经典问题！进来讨论啊！！

yanglingtao

[这个贴子最后由yanglingtao在 2004/12/15 11:03pm 第 1 次编辑]

:em11: ADSL猫开路由后，下一步工作就是做好端口映射了。那么，究竟该如何映射哪？关于这个问题网上有很多文章，我查阅了一下，基本上大同小异，都只是简单设置而没有深入剖析。更有甚者，有些作者简直误人子弟-----所做映射根本就是空架子！起不上任何作用。做好一个成功的影射，要考虑的方面很多，这里我只想把问题提出来供大家参考讨论，如有不足请大伙补上，也希望斑竹能过来看看。
问题一：关于映射规则类型的选择
一般有三个规则：napt,dmz和redirect.至于napt就不必说了，这是必须做的。关键是dmz（地址映射）和redirect（端口映射），注意这个问题----如果做了地址映射还需要做端口映射吗？（个人认为不需要）比如，想把端口80映射到内网192.168.1.10上，如果做了这个IP的地址全映射，它的端口应该全部对外开放，没有必要再端口映射了。
问题二：关于映射目的的选择
我们一般做端口映射不外乎出于以下几个目的：在内网架设自己的服务器，躲避网络攻击和提高网速。我先说说后两者，现在有很多人为了避开网络攻击把猫的对外服务端口（如80，21，23等）映射到内网一个不用的IP上，而恰恰相反还有一部分人为了提高网速（如BT下载等）把端口直接映射到自己的IP上。注意这个问题------这两种做法兼容吗？该怎样合理映射？（个人认为应取后者）对于这个问题好象众说纷纭，莫衷一是。我认为应以提高网速为根本，映射猫的开放端口不如直接更改服务端口。再说这种映射好象起不上多大作用，因为一般用户不可能开放这几个端口（80，21，23）（注：这是我亲自扫描后的论证），除非你自己愿意（比如做服务器），所以不如直接映射到自己IP上提高网速。
问题三（也是最重要的一点）：关于规则ID的选择
这是最容易忽视的！！很多人建立好端口映射后，储存重启就认为万事大吉了，其实不知道你的映射根本没有起上作用！这就是规则ID搞的鬼。很多具有路由功能的猫都默认开启了nat并且自动添加了规则类型napt（内网与外网的IP地址转换），定义了它的规则ID为1（不同的猫好象不一样，不过都是最小的）。在ADSL路由规则中有一条默认法则：最先执行靠前的规则ID！明白了吧，只要前面有napt，所有后面的映射都将失去作用！因为到达猫的数据指令都被它率先执行了，哈哈。所以想映射成功必须把napt安排后面，切记！
还有一点就是要映射的端口不能和猫的默认服务端口冲突。比如想映射端口21（这个端口是猫对内外提供ftp服务的），就必须更改猫的21端口。 :em01:
以上几个问题只是我的个人意见，关键想请大家在此讨论，争取把映射做的更好。

yiping

1、DMZ不是地址映射，而是“非军事区”，在MODEM上的DMZ的那个意义只是它的一个非标准应用罢了。
2、针对你的第三点，端口映射和NAPT并不矛盾，只是我现在手边没有Viking的猫，我就能够配出来不矛盾的，既有NAPT，也有RDR的。NAPT和RDR本来在网络原理上就不是你想的那么简单，个中区别也不是三言两语能讲清的。

junjie6

我的做法是：
一，做了DMZ（非军事区域，Vinking芯片的BIMAP类似DMZ），可以不必再做其他为防止网络攻击的端口映射，而Vinking芯片的BIMAP做在其他端口映射之前，后面做的端口有可能无效；
二，为防攻击做Modem的端口映射转移到不存在IP与做BT端口映射到指定PC，这样做不会冲突，你说映射不起作用，如果是Vinking芯片的Modem，我估计你配置后在NAT首页未有“提交”允许，之后才到管理页保存重启Modem，设置才起效，很多人走了弯路就是这样，漏了这一重要的一步。。。
三，“想映射成功必须把napt安排后面”－－这一个是谬误！做NAPT（限定内网IP地址），执行应该而且有必要是第一个Rule ID（没有放在第一个Rule ID，有可能你还上不了网了！），也即分配内网IP后，再做的端口映射也根本不会存在冲突，限定内网IP和端口映射是两马事！（这个通过实验就可以知道，NAPT之前和之后端口映射是否有效，可以通过实验BT下载的速率区别就会知道有没有效），你要知道一点：配置Rule ID为1，只能说是第一个优先执行，而不能说后面的ID就不执行了（除非配置超范围），还是那一个可能性：如果是Vinking芯片的Modem，我估计你配置后在NAT首页未有“提交”允许，因而未有生效。。。

yanglingtao

下面引用由yiping在 2004/12/15 11:18pm 发表的内容：
1、DMZ不是地址映射，而是“非军事区”，在MODEM上的DMZ的那个意义只是它的一个非标准应用罢了。
2、针对你的第三点，端口映射和NAPT并不矛盾，只是我现在手边没有Viking的猫，我就能够配出来不矛盾的，既有NAPT ...

我并没有说端口映射和napt矛盾啊！想路由成功napt当然是必不可少的。问题是在执行这些规则时有一个先后顺序（优先权），如果配置不当就有可能使规则ID靠后的类型得不到执行！！很多问题凭感觉判断不行，关键是让事实说话。看我的例子：1，我在内网构建了一个ftp服务器，为了访问做了如下端口映射-----规则ID1是napt为默认，没有改变。重点做了redirect的端口21映射（千万不要怀疑我的设置！），规则ID当然排在napt后面。你猜结果怎么样？外网根本就访问不到！！规则ID顺序互换，问题解决。2，朋友为了安全想把猫的服务端口映射到闲置IP(192.168.1.99)上，我首先给他做了一个dmz映射，又把端口（80，21，23，69）通过redirect映射到地址(192.168.1.99)上，经过一段时间后查看状态发现通过这几个端口的入站报文数量为0！也就是说这几个端口映射根本没起任何作用，因为所有的sessions都让规则dmz率先转换了。调整ID顺序后出现报文数量！
以上说明规则ID顺序在配置中起了很大作用，搞不好很多计划就会搁浅。

乱红飞过

试过了，如果RDR的做在NAPT后面就不起效！而且猫的地址转换规则是有优先级的，越小的ID规则优先执行！