OTT解释 - 什么是端口转发及其用途?


大多数人过着不知道什么是端口转发以及它能为他们做些什么而过着自己的生活。我最近买了一台连接到我的无线网络的Foscam IP摄像机,并将所有内容记录到我的Synology NAS(网络附加存储)设备上。 IP摄像机的优点在于,您可以从本地网络外部查看摄像机,例如当您离开家中度过两周假期并想要检查时。

您可以花费数百个甚至数千美元雇用一家公司来安装摄像头并为你设置一切,或者你可以在亚马逊上花70美元买一台相机并自己动手做!我对购买和相对简单的设置感到惊喜。不幸的是,如果您对端口转发一无所知,那么您自己就无法做到这一点。

在本文中,我将解释端口转发是什么以及如何使用它可以从本地家庭或办公室网络外部访问本地设备,如相机,NAS设备,打印机等。一旦你知道如何转发端口,你可以设置远程桌面 并从任何地方访问你的计算机。

在我们进入端口转发之前,你首先要了解一下什么路由器在本地网络上运行。

Internet,路由器和NAT

小网络

大多数家庭网络如上图所示:您可以将智能手机,平板电脑,计算机,电视等设备直接或无线连接到连接到Internet的路由器。但是,如果您考虑一下,您的连接只有一个IP地址,这在Internet上是唯一的,那么所有这些设备如何连接并仅使用该地址?

这就是您的路由器您的路由器基本上允许本地网络上的设备通过NAT(网络地址转换)与Internet上的设备通信。什么是NAT?我不会在这篇文章中详细介绍,但基本上本地网络上的所有IP地址都是私有保留地址。这意味着它们只能用于专用网络。私有地址的示例包括10.x.x.x,192.x.x.x等。

路由器通过名为DHCP的服务为网络上的每个设备分配一个专用地址。这基本上是一种网络协议,它使用地址配置网络上的设备,以便它们可以相互通信。

这就是路由器的一侧或接口。第二个接口连接到Internet。在此接口上,您的路由器具有ISP分配的IP地址,这是唯一的。它看起来如下所示:

宽带IP

正如您所看到的,这里的IP地址以完全不同的东西(99.108.x.x)开头。现在这里是NAT发挥作用的地方。如果本地网络上的计算机尝试通过Internet发送数据,则不会发生任何事情,因为流量不可路由。来自互联网的私人地址的任何流量都被丢弃。因此,您的计算机将数据发送到路由器,然后路由器“翻译”该数据并通过Internet发送。在外部,看起来好像一台带有一个IP地址的计算机正在发送所有数据,即使多台计算机和设备实际上都在路由器后面。

为了解释一下,让我们说网络中的计算机想连接到互联网上的计算机,即从网络浏览器连接到Google.com。该请求被传递到路由器,这是默认网关。如果您曾经为计算机运行IP配置,您将看到一条名为Default Gateway或Router的线路。默认网关是当IP地址与本地不匹配时发送数据的地方。

现在路由器简单地获取该数据并将源地址从本地私有IP更改为路由器的公共IP 。它还进入NAT表,该计算机在该Internet资源的特定端口上发出请求。当外部服务器响应时,它会将数据发送回路由器。然后路由器将检查它的表并查看哪台计算机已启动该连接。然后它会将该数据转发到请求它的本地计算机上的端口。

端口转发

所以这对于浏览网页和发送电子邮件等都很好用,因为这些是在电子邮件客户端和Web浏览器中预定义的,而且是传出流量。例如,HTTP流量总是超过端口80.这是由IANA定义的,每个人都必须遵循它。用于发送电子邮件的SMTP默认使用端口25。但是,当有人试图从端口80上的Internet连接到您的路由器时会发生什么?

默认情况下,如果您没有端口转发设置并且启用了防火墙,则该连接将只是被终止。如果要在本地网络上运行Web服务器,则必须将端口80上的流量转发到运行Web服务器的计算机的本地IP地址。另一个例子是,如果您在本地网络上运行游戏服务器,并且您希望其他朋友能够加入。游戏服务器可能接受端口55202上的新连接,这意味着您必须转发进入端口55202的数据在您的路由器上到本地网络上的游戏服务器IP地址。 IP摄像机可能使用类似5000的端口进行传入连接。

港口foward

如上所示,转发端口并不复杂。你给它一个名字(NetCam,RDP等),然后告诉它开始和结束端口号。通常这两个是相同的。这意味着从网络外部进入端口5000的数据将被定向到网络中本地计算机上的端口5000。一旦选择了端口号,只需输入将要在该端口号上预期数据的设备的IP地址。

如果您无法弄清楚如何在路由器上执行此操作,你可以使用名为Simple Port Forwarding的免费软件阅读如何转发端口 上的上一篇文章。

并发症

如果这很容易,那么每个人都会这样做对的?有一个原因,为什么有点难以正确设置它。最大的原因是您分配给家庭Internet连接的唯一公共IP地址不断变化!因此,如果您尝试从网络外部进行连接,它可能会工作一次或两次,但一旦公共IP地址发生变化,它就会停止工作。

这是您必须设置动态DNS的地方。这将允许您创建一个唯一的域名,该域名通过您必须下载并安装在网络内部计算机上的工具,使用Internet连接的当前IP地址自动更新。您可以在OTT上一篇文章中阅读有关设置动态DNS 的更多信息。

另一个问题是安全性。默认情况下,路由器是唯一暴露给Internet的设备。一旦开始转发端口,这些计算机现在很容易受到来自该端口号的Internet的攻击。有许多恶意黑客经常通过互联网扫描计算机,寻找计算机上的开放端口。因此,您必须小心打开哪些端口。选择1024以上的端口总是一个好主意。实际上,由于垃圾邮件和黑客,许多互联网服务提供商甚至不允许像80这样的端口上的传入流量。

在设置我的Foscam时,我有将端口从80更改为8000范围内的某些内容,以便能够连接。我还确保我输入了一个密码,以便在我的IP地址上找不到开放端口的任何窥探者都可以在不知道密码的情况下突然看到我家里发生的事情。

希望这篇文章这将使您更加熟悉端口转发的概念,以及如何使用它来从世界上任何地方访问本地网络上的设备。享受!

Cisco DNA Enterprise Network Architecture Data Plane Components With Ganeshh Iyer - 2

相关文章:


4.04.2013