路由器中虚拟服务器(端口映射)设置指导
路由器中DMZ主机的使用设置:https://www.xmmup.com/luyouqizhongdmzzhujideshiyongshezhi.html
如何映射服务器到外网?
使用路由器后,Internet用户无法访问到局域网内的计算机,因此不能访问内网搭建的Web、FTP、Mail等服务器。虚拟服务器功能可以实现将内网的服务器映射到Internet,从而实现服务器对外开放。
本文指导新界面路由器的虚拟服务器功能的应用和配置。
需求分析
某小型企业通过路由器上网,需要将邮件服务器和网页服务器对外网开放。配置信息如下:
企业考虑到网页服务器的安全,需要将该服务器对外开放的端口设置为9000。
设置步骤
1、确认服务器搭建成功
设置虚拟服务器之前,需要确认以下几点:
【1】服务器为手动指定IP地址(或IP地址不会动态变化)。
【2】局域网内的客户端电脑可以访问对应服务器开放的服务。
2、添加虚拟服务器规则
2.1、进入设置界面
登录路由器管理界面,点击 高级设置,如下图:
点击 高级用户 > 虚拟服务器,如下图:
2.2、添加虚拟服务器规则
点击 添加,如下图:
添加网页服务器:
对外开放端口为9000,内部端口为服务器真实端口80,点击 保存,如下图:
注意:外网用户访问服务器的时候使用外部端口,该端口可以与内部端口一致。
添加邮件服务器:
邮件服务器使用SMTP(25)、POP3(110),需要添加两条规则,如下图:
注意:由于该服务的特殊性,邮件服务中外部端口与内部端口需保持一致。
按照同样的方式添加POP3的映射。
添加完成后,规则列表如下:
3、确认映射成功
根据以上设置,Internet中的邮件客户端软件访问121.202.33.100,即可访问到邮件服务器。通过浏览器访问网页服务器,访问形式如下:
注意:具体的访问形式以实际服务器要求为准。
如果您的宽带并非静态IP地址,可以在 动态DNS 中申请域名账号并在路由器中登录该账号,登录后使用域名和开放的端口号访问服务器。
设置了虚拟服务器,外网无法访问服务器怎么办?
参考:https://service.tp-link.com.cn/detail_Article_427.html
设置好虚拟服务器映射后,外网用户无法访问服务器。
请逐步按照以下方法排查。
可能原因:访问服务器的方式,或是访问服务器时输入的地址和端口号不正确。
解决办法:访问服务器的方式取决于实际应用,外网访问服务器的方式与内网访问服务器的方式一般是一样的。
外网用户通过路由器WAN口IP地址(域名)访问虚拟服务器,请确认访问服务器的浏览器或客户端软件中填写正确的IP地址(域名)和端口,如下图:
1、确认服务器网络参数
可能原因:服务器网络参数不正确。
解决办法:确认服务器网络参数设置正确(IP地址、子网掩码、默认网关),如下图:
如果服务器是一台主机,确定服务器通过本路由器可以正常上网。
2、确认服务器搭建成功
可能原因:服务器搭建不成功。
解决办法:确认内网电脑可以访问到服务器,如果内网电脑无法访问成功,建议排查服务器原因。
3、关闭防火墙及杀毒软件
可能原因:服务器的防火墙和杀毒软件可能会将外网地址列为非信任区域地址,导致外网地址不能访问内网服务器。
解决办法:关闭服务器的系统防火墙和杀毒软件。
1、检查虚拟服务器规则设置
可能原因:虚拟服务器规则中的服务器端口或服务器IP地址填写错误。
解决办法:确认规则中的内部端口是服务器的真实端口(外部端口是外网用户访问服务器时使用的端口,可以和内部端口不一样),IP地址是服务器的IP地址。
注意:虚拟服务器的外部端口与远程WEB管理端口(在路由器管理界面 高级设置 >> 设备管理 >> WEB**管理设置** 里面查看远端WEB管理端口)不能相同,否则会发生冲突。
2、DMZ主机测试
可能原因:虚拟服务器规则开放的服务器端口不完全,没有包含服务器的所有端口。
解决办法:尝试开启DMZ主机测试。在路由器管理界面点击 高级设置 >> 高级用户 >> DMZ**主机,DMZ主机IP**地址 中输入服务器的IP地址,点击 保存,最后将 DMZ**主机** 后面的开关拨动右边,如下图所示:
若开启DMZ主机后,外网可以访问成功,则可能是部分端口没有开放导致。如网络摄像机以及特殊的应用软件(如ERP系统)等,如果不清楚服务器的服务端口,可咨询服务器软件服务商。
3、检查上网控制设置
可能原因:路由器开启了上网控制功能,屏蔽服务器的相关端口,导致访问失败。
解决办法:关闭上网控制功能再测试。在路由器管理界面,点击 高级设置 >> 上网控制 >> 行为管理,将 行为管理 的开关拨动到左边。如下图所示:
1、服务商屏蔽对应端口
可能原因:部分宽带运营商可能会屏蔽80等常用服务端口。
解决办法:修改外部端口为运营商非屏蔽端口,建议修改9000以上,外网用户使用修改后的外部端口访问服务器。
2、WAN口IP地址是否为公网IP地址
可能原因:WAN口IP地址不是公网IP地址,无法进行虚拟服务器映射。
解决办法:局域网内的电脑访问ip138.com,如查看到的IP地址与路由器WAN口IP地址不同,建议联系宽带服务商解决问题。
IP138.com网页上的显示如下图所示:
路由器WAN口IP地址(在路由器管理界面 常用设置 >> 上网设置 页面查看):
3、DNS解析问题(仅针对域名访问方式)
可能原因:路由器上已经成功登录动态域名,该动态域名解析的IP地址不是路由器WAN口IP地址,导致域名无法访问。
解决办法:外网用户确认动态域名解析的IP地址为路由器WAN口IP地址。确认方式:在外网的电脑上ping该动态域名,将返回的IP地址与WAN口IP地址进行对比即可。如下图:
如IP地址对比不相同,可以尝试修改外网电脑的DNS服务器地址为8.8.8.8尝试。
可能原因:内网搭建的为IPSec、FTP、VoIP等特殊应用服务器,路由器不支持相关的ALG(应用层网关)。
解决办法:不同路由器对不同类型的ALG的支持情况可能不同,建议联系400-8863-400技术支持确认路由器是否支持相关的ALG。
其它问题
Q1:虚拟服务器映射不成功?
设置好虚拟服务器以后,外网电脑无法访问映射后的服务器,请参考:设置了虚拟服务器,外网无法访问服务器?
Q2:外部端口是什么?
外网端口是Internet用户访问服务器的端口。当访问数据到WAN口时,路由器会将访问请求数据的外部端口替换为内部端口,然后转发给内部服务器,这样服务器就可以正常接收访问。外部端口主要目的是降低外网对常用端口的扫描攻击、运营商限制等。
Q3:如果不知道服务器的端口?
可以使用DMZ主机功能,将服务器开放给外网,外网电脑使用WAN口IP地址访问对应的服务器。
Q4:需要开放一段端口段,该怎么设置?
如服务器IP地址为192.168.1.100、端口号为6001-6008。则依次添加8个条目,IP地址均为192.168.1.100,内部端口依次填写为6001、6002…6008,并设置对应的服务端口。
注意:部分老版本的路由器支持内外部端口均填写一个端口段,请以实际为准。
虚拟服务器和DMZ的区别
首先,虚拟服务器其实就是端口映射,可以提供将内网端口映射到公网路由器上,提供外网服务。虚拟服务器只是一个端口映射到公网,而DMZ是将整个主机的所有端口都映射到到公网上,这个区域内的主机很容易受到攻击,外网和内网的用户都可以访问这个区域的主机,也可说是一个内网网的隔离区。
其次,DMZ称之为“非军事化区”,从名字就可以看出这是一个不受保护的区域,在这个特殊的区域里放置一些不包含机密信息的服务,如:web、DNS、MAIL等,一般都是提供公共服务的。
虚拟服务器可以对外映射指定的端口,如果只是把电脑作为Web服务器,你可以只映射指定端口,而不必开放其他端口。
而DMZ是开放你的主机的所有端口对外,这样就相当于把你的这台主机直接暴露在外网,虽然也可以做为Web服务器来访问,但是就非常不安全了.
