ROS2.96端口映射、IP显示和回流设置.docxVIP

1、什么是端口映射　　　　　　这里说的端口映射是路由器上的端口映射。一般情况下，网络中路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL线口或是固定的外网IP地址)，而访问不了局域内部服务器或工作站。要想让外面用户访问到局域网的电脑，那么就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，能够转发到局域内部的机器上，例如游戏服务器或WEB服务器。这就是端口映射。 　　例如，在局域网中建建立一个web服务器，IP地址为:,端口为80，此时在局域内部，只要在浏览器输入 ,就能打你web网站的内容，但如果要在因特网上访问此web服务器，打入这个局域网内网IP，肯定是访问不了的。当需要在外网访问这台服务器时，就要就这台机器的80端口通过路由器映射到外网。除了web服务外，其它的服务例如FTP、远程桌面等服务都可以将不同的端口映射出去，以便能在外网通过路由器来访问内网机器。一般的路由器都带有端口映射功能，以下对目前使较多的ROS软路由的端口映射作一说明，并提出解决外网IP显示及回流设置。2、ROS 2.96 的端口映射的设置进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面。点击左上角红色的“+”号，添加一条dstnat规则，其中dst.address 填写你要映射的外网IP，本例为218.87.96.xxx(此处请填入您的外网IP),然后选择protocol协议为6，即TCP协议，设置Dst. port（目标端口）为80。设置完成后如图1所示。　　单击“Action”选项卡，在Action框中，选择“dst-nat” ，在“To.Address”框中填写内网提供服务的IP地址，本例为,在“To.Port”填写内网提供服务的IP端口，这样基本映射就完成了，如图2所示，此时可以在外网中输入你的外网IP，即可看到内网WEB服务器上的网站了。以同样的方法可以设置FTP和远程桌面。注意这些服务的端口都是不一样的，例如你有两台内网WEB服务器，80端口已经用掉了，第二台便来能映射到80上了，但可以映射到其它没有使用过的端口上，例如81端口。例如可以将内网:80映射到外网218.87.96.xxx:81端口上。这样就能在同一个外网IP访问两台内网WEB服务器了。３、IP显示和回流问题解决　　经过第二步的基本端口映射设置后，外部可以访问内网了，但存在一些不完善的地方，例如所有的外网访客的地址都是路由器的内网网关，本例为，如图3所示。这样就无法统计访客的来源，还有许多的不便，例如WEB中的论坛就无法屏蔽一些会员的IP了，因为大家都是。　　原因是这样造成的：为了使整个内网的所有机子共享上网，在设置ROS时，我们都要设置一条srcnat规则，Action设置为“Amasquerade”，Amasquerade是snat的一个特例,主要用在无固定ip网关的情况下,比如adsl拨号等,masquerade比nat效率低的原因是nat直接指出需要伪装的源地址,而masquerade需要伪装的源地址必须到默网关中寻找,masquerade永远以默认网关地址为ip伪装的源地址,所以首先效率慢了点,其次只能用在外网ip只有一个的情况,如果有多个wan接口就不能用masquerade，而只能用nat,因为nat可以手工指定多个需要伪装的源ip地址，而masquerade却只能找到一个地址,就是默认网关的地址。由于NAT方设置较Amasquerade复杂，加上现在大量的ROS教程都是以Amasquerade方式共享上网，所以目前在用的ROS大多数采用Amasquerade设置共享。通过上面分析，我们可以看出为什么在端口映射后，外网访问的IP都成了内网网关，解决的方法有两种，一是改用nat方式，这种方式有局限性，只能用于固定IP的外网，若是ADSL则不能用；另一个方法是通过调整masquerade的设置来完成显示外网IP,具体操作如下，进入winbox,点击IP→ Firewall→Nat打开防火墙设置界面,双击原来建立的srcnat规则Amasquerade（用于共享上网），在“General”选项卡的“Out. Interface”选中“LAN”即内网网卡，单击将前面的小框，在框中出现“！”，单击“OK”完成此设置。　这样设置完成后，我们可以发现外网访客可以正常访问，而且IP显示也是正确的，但同时导致别一个问题，就是内网用户不能用外部ip访问映射的内部服务器,要按下面方法解决：再增加一条对内网的规则，Action设置为“Amasquerade”，在“General”选项卡中，设置Chain为“srcnat”,Src. Address为“/21”由于本例中的内网有192.168.0、192.168.1、1