server 2000 NAT端口映射配图详解(网外Internet访问代理服务器内部的实现方法)

由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。
       要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。      先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。
      端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转到内部一主机的提供这种特定服务的主机；利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能，比如代理POP，SMTP，TELNET等协议。理论上可以提供六万多个端口的映射，恐怕我们永远都用不完的。

      一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。  

•   NAT共享上网
  1、在Windows 2000 Server上，从管理工具中进入“路由和远程访问”（Routing and Remote Access）服务，在服务器上鼠标右击，－》“配置并启用路由和远程访问”
  
  
  
  2、点“下一步”
  
  
  3、选“Internet连接服务器”，让内网主机可以通过这台服务器访问Internet.
  
  
  
  
  4、最好先配置好NAT共享，让内网主机可以正常上网，不然的话，配好端口映射后再来配置NAT共享就有点麻烦了，弄的不好NAT还共享不了。）4、选“设置有网络地址转换（NAT）路由协议的路由器”，不要选“设置Internet连接共享(ICS)”.(ICS与NAT的区别在于使用的容易程度上，为了启用ICS，只需要选择一个复选框就可以了，而为了启用NAT，则需要更多的配置任务，此外，ICS用于小型网络上的原因还在于：针对内部主机，它需要有一个固定的IP地址范围；针对与外部网络的通信，它被限制在单个公共IP地址上；它只允许单个内部网络接口。)
  
  
  
  5、先在此说一下我的网络情况：

Internet连接         192.200.200.3(也是个内部地址，没办法，铁通的网络不太好，网速不快，价钱又贵，我的命真苦啊)

宿舍内连接                192.168.0.1（宿舍里连有局域网，共4台电脑，其中一台上装了Sambar 5.1b5做的Web服务器，Web端口是80，待会就从外网（用192.200.200.55来替代）来访问这个192.168.0.2:80上的网页） 这台NAT主机上开通了IIS 5.0，端口是80，用端口映射的办法把8081端口映射到内部主机192.168.0.2的80端口上。


6、在“路由和远程访问服务器安装向导”中选“Internet连接”（就是连向Internet的那个连接），点“下一步”。


、选“完成”
  
到此为止，NAT共享设置也就完成了，内部的主机也能上网了。内部主机的网络设置如下：  
IP地址范围是192.168.0.2~192.168.0.254，子网掩码为255.255.255.0，网关为192.168.0.1，DNS为ISP给的地址，我们的是211.98.xxx.xxx  


利用NAT来映射端口

1、添加NAT协议。右击“常规”，－》“新路由选择协议”



2、在“新路由选择协议”中选择“网络地址转换（NAT）”，点击“确定”



3、这样在“IP路由选择”中就多了一项“网络地址转换（NAT）”
4、右击“网络地址转换（NAT）”,添加“新接口”



5、在“网络地址转换（NAT）的新接口”中选择“Internet连接”（也就是连向Internet的那个连接，可不要选错咯）



6、在“网络地址转换-Internet连接属性”中选中“公用接口连接到Internet”，复选“转换TCP/UDP头（推荐）”


7、在"地址池"选项表里添加你需要提供端口重定向的起始地址与结束地址.（也  



就是你要拿出来搞端口映射的所有IP地址，一般情况下我们就一个IP地址，所以可以不用“地址池”不同之处后面再讲。这里假设有8个地址，设置如下：
添好后是这样的：


8、在"特殊端口"选项表里提供了你需要定向的数据连接协议（是TCP还是UDP协议，如Web和FTP就是TCP协议的），选准后“添加”



9、“添加特殊端口”，这里就是设置端口映射的核心了，把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置，由于设有“地址池”，所以可以在“公网地址”中添上“地址池”中的任一地址，这里添的是“192.200.200.3”，也就是我的地址，如果你在前面没有设置“地址池”，那么在这个选项页中“在此地址池项”为灰色不可选，你只能选“在此接口”，也就是你只有一个公网IP地址，这比较适合只有一个IP的朋友，可以不用“地址池”，何必做多余的设置呢？假如有问题的话，还不是自找麻烦。
     “传入端口”就是别人从网外访问有公网IP的NAT服务器的端口，这里设的为8080。
     “专用地址和传出地址”就是内部主机的IP地址和提供特殊服务的端口，这里是把192.200.200.3上的8080端口映射到192.168.0.2上的80端口。      这就是TCP协议端口的重定向，至于UDP的定向页差不多，下图就是添加端口映射后的情况。  





四、测试结果在192.200.200.55出测试了一下NAT主机上的Web服务器和内网中192.168.0.2上建的Web服务器，得出结果如下：（不好意思，中间改过一下端口号，192.200.200.3上的8081端口映射到192.168.0.2的80端口）



现在大家该清楚了吧，大家可要好好利用哦：）祝各位好运

=================================================================

=================================================================

网络地址转换（NAT）是RFC 1631和2663中定义的一种IP路由器，它能够在转发数据包时转换它们的IP地址和TCP/UDP端口号。对于传出的数据包，源IP地址和TCP/UDP端口号被映射到一个公共源IP地址和一个可能被改变的TCP/IP端口号。对于传入的包，目标IP地址和TCP/UDP端口号被映射到专用IP地址和最初的TCP/IP端口号。

如果NAT转换表中存在一种特定的映射，NAT仅把来自Internet的流量转发到专用网络。由于这个原因，NAT为连接到专用网段的计算机提供了某种程度的保护。然而，当您想要让专用网络资源对Internet客户端可用时，这种程度的保护也带来了连接问题。

例如，假设您在专用网络上安装了一个Web服务器，该专用网络以一个NAT为边界，并让您的ISP创建了一个域名系统（DNS）记录，以便您的ISP使用其将www.example.com解析为可分配于您的公共IP地址(154.160.0.1)。当某个Internet客户端发起与您的专用网络上的Web服务器的通信时，将会发生下列情况：

1. Internet Web客户端计算机（使用公共IP地址131.107.0.1）上的用户在他们的Web浏览器中键入http://www.example.com。

2. Internet Web客户端使用DNS将名称www.example.com解析为地址154.60.0.1。

3. Internet Web客户端计算机从131.107.0.1/TCP端口2000向154.60.0.1/TCP端口80发送一个传输控制协议（TCP）同步（SYN）段。

4. 当NAT计算机接收到该TCP SYN段时，将检查自己的NAT转换表。

5. 由于不存在针对目标154.60.0.1/TCP 80的条目，该TCP SYN段将自动被丢弃。

6. Internet Web客户端计算机一直重试，直至最终显示一条出错消息。

由于不存在针对传入流量的NAT映射，位于NAT后方的服务器上的资源就不能从Internet进行访问。

解决这一连接问题的办法，就是为来自Internet的被转换为针对NAT后方的资源服务器的流量提供手动配置的静态映射。为了帮助将传入流量转发到专用网上的资源服务器，您可以配置两类型静态映射中的任意一类：

• 您可以将某个特定公共IP地址的所有流量映射到某个特定的专用地址（地址映射）。

  这类映射的优点是易于配置。由于针对该公共IP地址的所有流量都被转发，您不必根据运行在专用网计算机上的服务的TCP和UDP端口来确定流量的类型。

  这类映射的缺点在于专用网络计算机现在直接对Internet开放，从而更容易受到攻击。您可以使用Windows XP的Internet连接防火墙或其他防火墙软件来帮助保护专用网络计算机。另一个缺点在于您必须获得多个公共IP地址。至少必须要两个公共IP地址： 一个针对资源服务器，另一个针对其他专用网络计算机的已转换流量。

• 将一个特定的公共IP地址/端口号映射到一个特定的专用IP地址/端口号（地址/端口映射）

  这类静态映射的优点在于，资源服务器更不易受到攻击，除非通过静态地址/端口映射所允许的流量进行攻击。其另一个优点在于，您只需对发送到资源服务器的流量和专用网计算机的转换后的流量使用一个公共地址。

  这类影射的缺点在于需要额外的配置。对于资源服务器上您想要使之对Internet可用的每个服务，您都必须对其创建静态映射。

本页内容

如何允许位于NAT计算机后方的服务的流量
更多信息

如何允许位于NAT计算机后方的服务的流量

在您配置NAT计算机之前，确保ISP已经创建了一个DSN记录用以将DNS名称解析为与资源服务器相关联的公共IP地址。

用于允许对资源服务器的流量的配置，取决于您是在使用Windows 2000 Server还是在使用Windows Server 2003&0153；以及您是在配置一个地址映射还是在配置一个地址/端口映射。

Windows 2000 Server

在配置基于Windows 2000 Server的NAT计算机之前，您必须在资源服务器上配置一个静态IP地址配置，包括IP地址、子网掩码、默认网关（NAT计算机的专用IP地址）和DNS服务器（也是NAT计算机的专用IP地址）。

如果NAT计算机充当专用网络所连接的子网的DHCP分配器，那么专用IP地址和子网掩码必须在该NAT计算机分配的IP地址范围之内。这在“路由器和远程访问”插件中的“”网络地址转换（NAT）属性对话框的“地址分配”选项卡上有所定义。此外，分配给资源计算机的IP地址必须排除在该NAT计算机分配的IP地址范围之外。因此，请单击“地址分配”选项卡上的“排除”。

地址映射

为了给运行Windows 2000 Server的NAT计算机配置一个地址映射，请完成以下步骤：

1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“路由和远程访问”。

2. 在控制台树中，打开“服务器名称”，然后打开“IP路由”，再单击“网络地址转换（NAT）”。

3. 在详细信息窗格中，右键单击您的公共接口，然后单击“属性”。

4. 单击“地址池”选项卡。

5. 如果您已经配置了Internet服务提供商分配给您的公共IP地址的IP地址范围，请转到步骤10。

6. 单击 “添加”。

7. 在“添加地址池”中，键入一个连续公共IP地址范围的起始IP地址、子网掩码和结束IP地址。

8. 单击“确定”。

9. 对对应于您的公共IP地址的所有范围重复步骤6至步骤8。

10. 单击“保留”。

11. 在“保留地址”中，单击“添加”。

12. 在“添加保留地址”中，在“保留公共IP地址”中键入对应于资源服务器的公共IP地址，在“针对专用网络上的这台计算机”中键入资源服务器的专用网络地址，然后选择“允许会话传入此地址”。

13. 单击“确定”，添加该地址映射。

14. 单击“确定”，保存对保留地址所作的更改。

15. 单击“确定”，保存对公共接口的所作的更改。

地址/端口映射

为了给运行Windows 2000 Server的NAT计算机配置一个地址/端口映射，请完成以下步骤：

1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“路由和远程访问”。

2. 在控制台树中，打开“服务器名称”，然后打开“IP路由”，再单击“网络地址转换（NAT）”。

3. 在详细信息窗格中，右键单击您的公共接口，然后单击“属性”。

4. 在“特殊端口”选项卡上，在“协议”中选择“TCP”或“UDP”，然后单击“添加”。

5. 在“添加特殊端口”中，请配置以下设置：

   • 在“公共地址”中，选择“在此接口上”（如果针对资源服务器的流量被发送到该公共接口的公共地址）或“在此地址池条目上”（如果资源服务器使用一个已保留的公共地址）。如果选择“在此地址池条目上”，请键入已保留的公共地址。

   • 在“传入端口”中，键入从Internet发送到资源服务器的传入流量的TCP或UDP目标端口号。例如，如果该资源服务器是一个Web服务器，您需要键入“80”（TCP端口80是默认的Web服务器TCP端口）。

   • 在“专用地址”中，键入资源服务器的静态专用IP地址。

   • 在“传出端口”中，键入由NAT计算机转发到资源服务器的流量的TCP或UDP目标端口号。例如，如果该资源服务器是一个Web服务器，您需要键入“80”（TCP端口80是默认的Web服务器TCP端口）。 这个值和“传入端口”值通常是相同的。

6. 单击“确定”，添加特殊的端口映射。

7. 单击“确定”，保存对公共接口的所作的更改。

下图显示了一个充当Web服务器并使用专用IP地址192.168.0.99的资源服务器的“添加特殊端口”对话框。 对于这个例子，NAT计算机只有单个公共IP地址。 因此，“在此地址池条目上”选项不可用。

下图显示了针对资源服务器的流量及其与“添加特殊端口”对话框中的字段的关系。

Windows Server 2003

在配置基于Windows Server 2003的NAT计算机之前，您必须在资源服务器上创建一个静态IP地址配置，包括IP地址、子网掩码、默认网关（NAT计算机的专用IP地址）和DNS服务器（也是NAT计算机的专用IP地址）。

如果NAT计算机充当专用网所连接到的子网的DHCP分配器，那么IP地址和子网掩码必须在该NAT计算机分配的IP地址范围之内。这在“路由器和远程访问”插件的“NAT/防火墙基本属性”对话框的“地址分配”选项卡上有所定义。此外，分配给资源计算机的IP地址必须排除在该NAT计算机分配的IP地址范围之外。因此，请单击“地址分配”选项卡上的“排除”。

地址映射

为了给运行Windows Server 2003的NAT计算机配置一个地址映射，请完成前面的地址映射小节中描述的相同步骤。 然而在第2步中，您必须打开“服务器名称”，然后打开“IP路由”，再单击“NAT/基本防火墙”（而不是单击“网络地址转换”）。

地址/端口映射

为了给运行Windows Server 2003的NAT计算机配置一个地址/端口映射，请完成以下步骤：

1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“路由和远程访问”。

2. 在控制台树中，打开“服务器名称”，然后打开“IP路由”，再单击“NAT/基本防火墙”。

3. 在详细信息窗格中，右键单击您的公共接口，然后单击“属性”。

4. 在“服务和端口”选项看上，在“服务”列表中，定位与资源服务器匹配的预定义服务。

5. 如果存在一个匹配的服务，则通过单击服务复选框启用映射，并选择“在此接口上”或“在此地址池条目上”。如果选择“在此地址池条目上”，则键入已保留的公共地址，再在“专用地址”中键入资源服务器的专用地址，然后执行步骤8。

6. 如果不存在匹配的服务，则单击“添加”。

7. 在“添加服务”对话框中，请配置以下选项：

   • 在“服务描述”中，键入您正在配置的服务的描述。

   • 在“公共地址”中，选择“在此接口上”（如果针对资源服务器的流量被发送到该公共接口的公共地址）或“在此地址池条目上”（如果资源服务器使用一个已保留的公共地址）。如果选择“在此地址池条目上”，则键入已保留的公共地址。

   • 在“协议”中，选择“TCP”或“UDP”。

   • 在“传入端口”中，键入从Internet发送到该资源服务器的传入流量的TCP或UDP端口号。

   • 在“专用地址”中，键入资源服务器的静态专用IP地址。

   • 在“传出端口”中，键入由NAT计算机转发到资源服务器的流量的TCP或UDP目标端口号。

8. 单击“确定”，保存服务配置。

9. 单击“确定”，保存对公共接口的所作的更改。