nat允许外部直接访问吗

路由器配置了端口映射，外网主机可以正常访问服务器，而内网用户访问外网 ip 的端口却不能访问服务器。一个朋友之前遇到这个问题，这是因为 nat 回流导致的，可以通过在出口设备内网侧接口上开启 nat helping 功能，从而解决这个问题。 如果出口设备不支持 nat care 片功能，我们也可以使用双向 nat 的方式进行解决。 以这个场景为例，企业出口路由器已配置端口映射访问外网 ip 一零点零点零点二八零，端口时会指向内网一九二点一六八点二百。服务器的八零。端口上首先用这台外网主机测试访问服务器 可以访问，再使用内网主机去访问这个公网 ip 的端口，发现无法通讯。 接下来我们配置双向 and at 解决这个问题。首先创建一个规则， a c l 两千零一，允许原地址幺九二点幺六八点幺点零，这个网段接一个反源码，再加一条规则，拒绝任何原， 然后再进入内网口输入 n a t， 要放调用基于 a c l 两千零一的规则。接下来继续在内网口配置与公网口相同的 n a t server 调目。 以上配置完成后，再使用内网主机去访问这个公网 ip 的端口，现在可以访问了。

今天发这个视频要提醒一下大家，在咱们家里边设置好网络以后，甭管你是光猫或者路由器，你是否把家里的网络设置成全追网络了？这个全追网络的方法可以，没有路由器的家庭也可以使用，有路由器家庭也没有区别， 所以说开通全追是很有必要的。如果你不开通全追，即使你家里是千兆网络，在你访问一些网站，在你访问一些软件，包括游戏串流的情况下，都不可能做到最佳。有很多人说我买一个游戏加速盒就行了，我干嘛非得要弄这个？因为用这个可以让你实现零成本， 低延迟玩游戏，打开一些网页，可以不需要购买路由器，也可以不需要购买加速盒子就可以实现。 具体方法其实网上有很多教程都会介绍这个的，但是我之所以发这个东西呢，就想提醒一下大家，你买了个加速盒子，或者是你家里边有个好的路由器，如果你没有开通全追这个功能，这个功能是完全免费的，你没有开通这个功能，等于你家里所有的那个网络状态全是受限的，所以一定要打开这个功能。

一个公网地址如何映射给多台服务器啊？那么大家呢，先看到如下一个网络啊，这边呢是我们的园区的内网啊，这边呢是我们的外网啊，我们出口呢有一个六七二一啊，这边呢有一个公网地址， 那么公网地址呢，采用两百点一点一点幺啊。接下来呢，我们想将内网的两台服务器啊，这边有一个 sewer a r p 呢，是幺九二点幺六八点一百点二。 这边呢还有一个 sale b 啊， r p 呢是幺九二点幺八点一百点三啊。如果我们想让外网的用户访问到这两台内网的夫妻， 那么就需要将内网的服务器啊，他的私网地址映射到公网上，那这样才可以对外网的用户呢进行访问。那这个需求呢，有很多的场景，比如说啊，有的时候呢，我们在内网有一些外部网站叫映射的外网，让我们的客户去访问，那么有的时候呢，比如说我们员工出差，出差的时候呢，如果没有 vp 呢，也可以 通过啊，远程映射的形式啊，把它映射到公网上啊，将他的远程的端口号，对吧，映射到公网上啊，来进行访问啊，都是可以的。现在的问题是什么呢？就说我们这边有一个公网地址，他仅有一个公网地址，是吧？那么你如何映射给多台夫妻呢？比如说我们这边有两台夫妻， 方法是这样哈，其实我们可以用端口的形式来解决，针对外网的这个中网地址啊，比如说我们这个地址是两百点一点一点幺啊，假设我们内网呢，需要开放这个八零号端口 啊，我们就需要它的外部服务啊，把它外部服务呢映射出来，我们首先呢可以用公网地址的一个八零号端口啊，那么映射到一百点二的这个八零号端口上，那么同时呢，我们采用公网地址的八十一号端口映射给这个一百点三的八零端口 底下这块啊，它是八十一号端口，映射的八是这个八零号端口啊，当然你如果是第二种方式去映射啊，外网的 用户去访问这个三个 b 的时候啊，他就得需要输入啊，两百点一点一点幺啊，八十一号端口了啊，需要加上一个冒号八十一啊，这样呢就可以实现啊，一个公网地址啊，印上给多台服务器啊。其实以前呢，我们 在工作的时候哈，也遇到过类似的现象，那有一次呢，我们有一个员工出差，出差呢，他到外网对吧，他临时呢需要访问我们内网的多台夫妻，这个时候呢，由于我们的微拼还没有做好啊，他没有这个微拼账号，因此呢，我们就临时啊，把这公网地址的啊多个端口号映射到了这个内网 啊，通过公网地址的不同端口啊，来访问我们这内网的多台，服气啊，也实现了我们的一个目标，这一块的话呢，我都已经做好了，我们可以简单看一下，好吧， 相关的配置呢，我们给大家看一下哈，主要的配置呢，二一的这个公网接口啊，那么在二一的公网接口零杠零杠一口呢，我们需要有这么两条映射啊，第一条映射呢，就是把当前接口的，把 当前接口的啊这个八零号端口映射到内网服务器的一百点二的八零号端口，再做一条 nt 映射啊，将啊当前接口啊，就是公网地址两百点一点点幺，他的八是一号端口映射到内网的一百点三的啊，这个八零号端口来正面实现啊。好，那配置呢？都已经做好了啊，那接下来呢，我们来去看一下效果好吧， 首先呢，我们内网的服务器呢，都已经开启了八零核端口啊，就说他已经模拟了 hdp 服务哈，包括我们第二台 实验了啊，接下来呢，我们可以在外网去访问一下，如果我们输入两百点一点一点一的话，你没有记端午号，他卖呢就是八零号端口，那这样呢，实际上他访问的就是我们这个啊，一百点二这条福气啊，我们可以看一下效果，你看这个呢也是正常的，对吧？正常啊，那接下来呢，如果他想访问一百点三个 so b， 他需要加上啊冒号八十一， 那么点击一个获取，那这样的话呢，也是 ok 的啊，那这个呢，就是端口的一个映射啊。关注我学习更多的网络知识，记得点赞关注哦。

这个场景下，他们三家能同时上网吗？三秒钟思考一下！先说结论，他们是可以同时上网的。那有朋友会问，不是说 ip 地址是全球唯一的吗？他们都是幺九二点幺六八点幺点幺的 ip 地址，难道不会 ip 冲突还能同时上网呢？ 在解释这个问题之前，我们先来了解一下 ip 地址。我们现在使用的 ip 地址通常是指的 ipv 四的地址，整个 ipv 四的地址大约有四十三亿个，除掉一些特殊的保留地址，实际能用的大约三十六亿个。而我们国家分配到能用的 ip 地址大约在三点五亿个左右， ip 地址的数量严重匮乏。为了缓解这一难题， ip 地址保留了三段地址作为私网地址，任何组织都可以在其内部自由使用这三段地址进行组网，而除此以外的公网地址确实是全球唯一，但是私网地址是不可以直接访问互联网的。那他们三家又是怎么能够上网的呢？ 这就是我们今天要讲的 snet 与 dnet 又是什么？我们一起来了解一下。 在以前的视频中，我们曾经提到，在计算机网络中，数据包如何发送是根据目标 ip 进行路由的。 如果同一个网络中出现两个相同的 ip， 这时的 arp 表会出现混乱，数据包发送到哪个主机上将变成不确定的行为。那怎么解决这个问题？ 答案很明显，就是让数据包从路由器发出去的时候变成不同的 ip 地址不就可以了？这个技术叫原地址转换技术，我们称之为 snet。 为了简化理解，我们还是先假设路由器的万口接入的 ip 地址为公网 ip， 比如幺零零点幺点幺点幺，我们的内网计算机地址是幺九二点幺六八点幺点幺，网关地址为幺九二点幺六八点幺点二五四， 我们访问的远端 ip 为八点八点八点八。首先计算机发送一组数据包出来到路由器上，在这些数据的网络层有两个重要的信息，一个是原 ip， 幺九二点幺六八点幺点幺，另一个是目的 ip， 八点八点八点八点八。 路由器拿到这一组数据时，需要执行原地址转换，把原 ip 修改一下，改成万口的公网 ip 一 零零点一点一点一发送出去。服务器收到了数据，处理完之后需要回复，再把原 ip 作为目标 ip 发送回来。 路由器收到回包，执行反向 snet， 再把目标 ip 改成幺九二点幺六八点幺点幺，发送给了内网中的计算机。一次通信完成。 看到这个过程，你是不是觉得很简单，但是事实比这个要复杂一些。假设内网中有两台计算机，另一台计算机的 ip 地址为幺九二点幺六八点幺点二， 它们俩同时访问同一个网站，发送了两组数据包到路由器上，路由器执行 snet 发送出去，看来没什么问题，但是回来的数据包怎么办？因为回来的数据包的目标 ip 都是一零零点一点一点一， 如何从中区分出来两台计算机的数据包？所以这样看，只关注 ip 地址是不行的，还需要增加一些确定性的标记， 这时就要把关联的属性再往下扩展一层，扩展到传输层，我们以最常用的传输层协议 tcp 协议举例， tcp 协议有两个关键属性，元端口和目标端口。 这时候我们的原地址转换就变成了修改原 ip 和原端口，并将修改后的端口号和原 ip 加原端口形成映射关系。比如主机一和主机二的原端口都是一二三四五， 修改后主机一的原端口变为二三四五六，主机二变为三四五六七，但返回包中，根据目标端口号是二三四五六还是三四五六七，区分出来是主机一还是主机二的包， 并且在反向 snet 的 时候把目标端口号改回。除了 tcp 协议外， utp 协议也是同样的道理，通过 ip 加端口进行关联。 但是我们常用来检测目标联通性的拼音命令使用的是 icmp 协议，它没有端口信息，则需要使用协议中的 type 加 code 来代替端口进行关联。明白了 snet， 我 们再来看一下 delete。 dinet 名为目标地址转换，顾名思义，跟 sinet 相反。 dinet 是 把目标地址修改的技术，那 dinet 有 什么用呢？如果我们的内网计算机对外提供服务，公网上发过来的请求不能直接到达内网计算机，我们就需要路由器用 dinet 技术帮我们转发请求。 比如我们内网有一台主机上有一个 web 服务监听了八零端口，我们需要在路由器上配置一个 dinet， 内容为访问公网地址的八零八零端口就帮我们转到计算机一，也就是幺九二点幺六八点幺点幺的八零端口， 则当访问数据包从万口进入后，路由器执行 dinet 修改，目标地址为幺九二点幺六八点幺点幺，修改目标端口为八十，把数据包转发给了计算机。一、 n a t 技术除了我们今天介绍的 s net 与 d net 外，还有另外五种分类。首先是静态 n a t， 是 私有地址和公有地址一对一的固定映设关系。 其次是动态 n a t， 它使用了一个地址池来动态分配公有地址。然后是 net server， 适用于需要来提供对外服务的内部服务器使用。接着是 n a p t， 也称 p a t， 多个私有地址，通过共享少量的公有地址和不同的端口号与外部进行通信。 最后是 ecip， 与 pat 类似，使用出接口地址做 nap， 适合没有固定公网 ip 的 场景。 nap 技术深入到我们生活的方方面面，小到家庭网络，大到庞大的运营商网络、云计算平台等，都使用着 nap 技术。 在 ipv 四地址严重匮乏的今天，我们的网络仍就能正常地运转，多亏了 nat 技术的存在。最后给大家分享一个 nat 的 工作流程图解，希望对大家有所帮助。好了，我们今天的视频就到这里，咱们下一期再见。

如何配置 nat， 让内网能够访问外网呢？以智障 top 图为例，我们用 esc 给大家实操演示一遍，需要网工重用软件的朋友可以点击评论区领取。 技术方法分为三步，第一步，创建一个基本 a c l。 第二步，且让这一条命令允许这个 ip 地去通过。 第三步，进入路由器连接外网的接口，调用这个 acl 就可以了。这里还给大家整理了一份网工学习资料，包含常用的软件、各个厂商的配置命令、网工电子书籍、华为认证题库等等。需要的小伙伴可以私信六六六获取。