宽带路由器NAT服务的一点疑问

minoru_harvest

现在的家用宽带路由器都没有提供直接配置NAT规则的功能，导致很多本身很简单的问题无法解决。
关于NAT参考http://baike.baidu.com/view/16102.htm

现在绝大多数家用宽带路由器的设置界面里都提供了“虚拟服务器、特别应用程序、DMZ”这3种和NAT相关的设置界面。但是我弄不明白他们都针对标准NAT规则的哪些条。

举例说明，假设路由器的WAN获得的是1.1.1.1的IP，路由器下挂的IP网段位192.168.1.0。

“虚拟服务器”这种映射，是把共网上访问1.1.1.1的特定端口（例如1.1.1.1：12345）的封包转发至特定的内网IP（例如192.18.1.2：12345），由此实现内网上服务器可为外网提供服务。但如果192.168.1.2通过12345端口向外发送数据，那么宽带路由器是否会将封包通过1.1.1.1：12345发送出去呢？

“特殊应用程序”这种映射，看路由器的说明，是说某些应用程序不能工作在NAT网关背后，但设置后就可以正常运行在宽带路由器背后了。我完全不明白这是怎么实现的，既然不能在NAT后工作，那么经过设置后怎么又可以了？难道路由器不改变封包的源地址直接发出去么？“特殊应用程序”这种设置的项目，包含“扳机端口”、“内网端口区段”、“外网端口区段”。相关信息可以上tplink的官方网站，看那些家用路由器的说明书。

“DMZ”这种，更让人糊涂了。宽带路由器说明上声称“把一台主机设置成DMZ，就相当于让这台主机完全暴露在外网上，双向流量完全不受限制”，这样的声明看似静态NAT（staticNAT），但经过我的实验，原来能在外网环境下工作的软件在DMZ下还是不能正常工作。是否有达人能为我解释一下家用宽带路由器的DMZ到底是什么意思？

以上是针对家用宽带路由器配置项的几个问题，希望有人能对应标准的NAT规则讲解一下它们的实现原理。



另外提一个实例问题：
假设路由器的WAN获得的IP是1.1.1.1，路由器下挂的IP网段位192.168.1.0。现在我想让192.168.1.2的12345端口通过NAT映射到1.1.1.1上，即——源地址为192.168.1.2、源端口为12345的数据封包，通过路由器时，源地址被转换成1.1.1.1，源端口不变，为12345，发送至公网；公网上发送至1.1.1.1：12345的封包，通过路由器转发到192.168.1.2：12345。这样的目的能否通过上述的“虚拟服务器”、“特殊应用程序”或其组合而实现？请给出配置方法。

万分感谢。


问题补充：请注意：首先，我需要的是双向的端口映射，即无论从内到外还是从外到内，都要求有特定的映射关系，这在我问题最后提出的实例中说得很清楚。有人能直接解决我提出的实例问题，我也感激不尽阿。

YES东

首先我能说的一点，对于你的要求。或许你应该选用的并非是sohu宽带路由器。

minoru_harvest

这么说不错，要求的确有点高。
不过我知道有达人已经弄成功了，双向NAT，用我说的这几个配置的组合。
我想，了解了实现原理，自然动起手来就方便一些么。
我看坛子里有不少搞网络的，应该能解决这类问题吧？

另外想问一下，坛子里讨论的tomato、ddwrt之类的ROS，能不能满足我的要求？

YES东

原帖由 minoru_harvest 于 2008-4-1 15:47 发表
这么说不错，要求的确有点高。
不过我知道有达人已经弄成功了，双向NAT，用我说的这几个配置的组合。
我想，了解了实现原理，自然动起手来就方便一些么。
我看坛子里有不少搞网络的，应该能解决这类问题吧？

另 ...

你最主要是实现什么功能？

minoru_harvest

终极目标：NAT规则用户自定义，像思科、华为的路由器一样。
理想目标：像华硕AAM6000EV的MODEM一样，有个界面可以设置NAT规则（别说，AAM6000EV的相关功能相当多，不过我不知道怎么让这个MODEM开路由又做DHCP客户端，倒是PPPOE我知道怎么弄）。
现实目标：假设路由器的WAN获得的IP是1.1.1.1，路由器下挂的IP网段位192.168.1.0。现在我想让192.168.1.2的12345端口通过NAT映射到1.1.1.1上，即——源地址为192.168.1.2、源端口为12345的数据封包，通过路由器时，源地址被转换成1.1.1.1，源端口不变，为12345，发送至公网；公网上发送至1.1.1.1：12345的封包，通过路由器转发到192.168.1.2：12345。

顺便说一下，我问这个东西是想用它破解一些讨厌的拨号程序，如果设备要求太高的话，推广价值不就不大了么，呵呵。

黑橘子

"我需要的是双向的端口映射，即无论从内到外还是从外到内，都要求有特定的映射关系"

双向的端口映射,直接用电脑拨号多方便(前提还得没防火墙),,先研究清楚Router上的NAT作用在来发帖子好吧,毕竟Router不是为你一个人设计的:lol

[ 本帖最后由 黑橘子 于 2008-4-1 17:10 编辑 ]

hcym

用iptables设置静态防火墙

;P

minoru_harvest

抱歉，用语有点小白。
关于NAT的东西，我了解得也不深入，手头也没有特别合适的设备试验，所有的实践都是在DLINK DI524和华硕AAM6000EV上，所以受华硕AAM6000EV的影响比较大，它那里面的NAT界面我就有点晕。

问个实际点的问题吧：
家用宽带路由器，出厂设置，配置PPPOE完成，可以正常上网。假如内网就一台机器，ip为192.168.0.2，这台机器上的某程序使用UDP协议，在11111端口发送出一个封包。那么，经过路由器转发后，如果在路由器外监听的话，能够看见这个包被路由器通过哪个端口发出去么？会不会还是11111端口呢？路由器的默认设置应该是一条NAPT规则吧，这样的话，那是不是应该是一个随机的端口？

原谅我的小白用语，毕竟不是专业搞这个的。

黑橘子

LZ我劝你就别研究了,DLINK DI524和华硕AAM6000EV跟本算不上严格意思的路由器,顶多算个"简单IP共享器"而已,真想研究路由NAT原理就taobao个旧的思科或华为的产品耍耍:lol

minoru_harvest

晕。。。。。
这话太实在了吧。。。。
我当然明白这一点了，要么怎么会说想要详细了解“虚拟服务器、特别应用程序、DMZ”的实线原理呢？
我的目的，就是在提供这几项简单设置的设备上，完成特定的功能。要是上cisco，我相信这些问题都不难解决——关键问题不就是设备的费用么。。。。要是设备本身都N百上千的，我折腾出来这些技术，推广起来成本也太高了不是？
还是回答我的问题吧，我也着急啊。。。。
家用宽带路由器，出厂设置，配置PPPOE完成，可以正常上网。假如内网就一台机器，ip为192.168.0.2，这台机器上的某程序使用UDP协议，在11111端口发送出一个封包。那么，经过路由器转发后，如果在路由器外监听的话，能够看见这个包被路由器通过哪个端口发出去么？会不会还是11111端口呢？路由器的默认设置应该是一条NAPT规则吧，这样的话，那是不是应该是一个随机的端口？

对了，软路由，有完全的NAT设置可供我研究么？我有一台奔腾MMX200MHZ的老机器可以折腾，cisco之类的设备着实买不起。