路由器NAT转发:远程桌面服务必须使用相同的内外网端口

1条留言 [网络通信] 季雨林 2019/10/17 22:57:12

NAT转换(又称:端口映射、NAT映射)是个可以实现路由器外部访问指定端口,流量转发到指定内网机器的内网端口的功能。这个功能是网络拓扑结构中一个非常重要的环节。


一般来讲,人们习惯性使用“对等端口”。比如外部使用80,内网也使用80;外部使用3389,内网也使用3389。


今天要说的就是这样一个例子,由于最近需要临时将家里一台Windows电脑对外开放远程连接服务,因此想到的第一步就是直接开放3389端口。然而,3389作为默认端口,直接暴露公网是有一定的危险的,比如被嗅探器工具发现,并进一步被暴力破解工具爆破登录等。因此我首先想到的是利用“非对等NAT转换”来省略掉Windows修改远程端口的工作。这时候怪事出现了,远程端口配置完成,通过tcp工具检测已经通畅。但是,使用远程桌面连接的时候,却发现总是卡在“正在加密远程连接”一步,等了十几秒之后报错“出现了内部错误”。


甚是奇怪,于是我回到最原始的3389映射到3389,发现恢复正常。然后我重新做了个假设,这款路由器需要对等端口号转发,经过试验发现果然如此。虽然尚未证明是否只有这款路由器有这个问题,但是至少这个结论已经可以解释我不能远程连接的原因。


扩展:

当我说到NAT的时候,有些懂网络的朋友会直接推荐我DMZ。不错,DMZ是个特殊的NAT转换,将外网端口全部转发到内网某IP的端口,但是这个用法不够安全,因为暴露的端口过多!所以对于DMZ这种作用,我一般建议是在存在子级路由器的时候使用,将DMZ整个映射给某台需要外网服务的子节点路由器上,然后路由器里进行NAT转换,这样一来,至少可以避免容易被利用的“闲置”端口和服务引发安全问题。


原文地址: https://www.opengps.cn/Blog/View.aspx?id=499 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

2019/10/19 13:40:30, 39.174.128.*说:
不知道楼主用的是哪款路由器。直接用端口转发非对等端口就可以了,我一直这样用的
【回复】联通宽带自带的一款设备,光电转换路由交换无线一体设备。看标识是中兴的设备

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示