什么是端口转发，如何设置端口转发？

端口转发（Port Forwarding）是将一个网络端口从一个网络节点传输到另一个网络节点的行为，常被用于实现外网对局域网内特定设备服务的访问，也可用于虚拟机与宿主机之间通信 。简单来说，它就像是在不同网络区域之间搭建了一座桥梁，让数据能够按照指定规则流通。比如，在一个通过 NAT（网络地址转换）共享上网的内网环境中建立服务器，外网用户无法直接访问内网服务器，通过在路由器上设置端口转发，就能将外网对特定端口的访问请求转发到内网服务器对应的端口，实现外网与内网服务器的通信。接下来为你详细介绍端口转发的设置方法。

一、在路由器上设置端口转发
（一）登录路由器管理界面
1.获取路由器地址：不同品牌和型号的路由器，默认管理地址有所不同。常见的有 192.168.0.1、192.168.1.1 等，你可以在路由器的说明书或者设备外壳的标签上找到对应的地址。例如，TP-Link 路由器默认管理地址多为 192.168.1.1 。
2.打开登录窗口：打开你常用的浏览器，在地址栏中输入获取到的路由器地址，然后按下回车键，此时会弹出路由器的登录窗口。
3.输入登录信息：多数路由器默认的用户名和密码都是 admin 。不过，如果之前修改过登录信息，就需要输入修改后的用户名和密码进行登录。登录成功后，即可进入路由器的管理界面。
（二）设置 TCP 端口转发
1.找到端口转发设置选项：在路由器管理界面中，端口转发设置选项通常位于 “转发规则”“虚拟服务器”“端口映射” 或者 “高级设置” 等菜单中。不同品牌路由器的位置和名称可能不同，比如华为路由器可能在 “更多功能” - “安全设置” - “虚拟服务器” 中；小米路由器或许在 “高级设置” - “端口转发” 里。
2.添加 TCP 端口转发规则：进入端口转发设置页面后，点击 “添加”“新建” 或者类似功能的按钮来创建新的规则。此时需要填写以下关键信息：
-外部端口（公网端口）：这是外网设备访问时使用的 TCP 端口号。可以根据实际需求自定义，但要注意避开已经被占用的知名端口，比如 HTTP 服务常用的 80 端口、HTTPS 服务的 443 端口等。例如，若要将内网的 Web 服务器对外提供服务，且不想使用 80 端口，可以设置为 8080 端口。
-内部端口（内网端口）：填写内网设备上运行 TCP 服务的端口号。假如内网 Web 服务器使用的是 80 端口，这里就填写 80 ，确保数据能够准确转发到对应的服务。
-协议类型：选择 “TCP”，明确数据按照 TCP 协议规则进行转发。
-内部 IP 地址：填写需要映射的内网设备的 IP 地址，如 192.168.1.100 。这个 IP 地址是内网设备的标识，保证数据能够准确送达目标设备。
-状态：选择 “启用”“生效” 等选项，让设置的映射规则生效。
填写完成后，点击 “保存”“确定” 等按钮，路由器就会按照新的规则将外网对特定 TCP 端口的访问请求转发到内网设备的相应端口。
（三）设置 UDP 端口转发
UDP 端口转发的设置与 TCP 端口类似。
1.进入设置页面：按照前面介绍的方法，在路由器管理界面中找到端口转发设置选项，进入设置页面。
2.添加 UDP 端口转发规则：点击 “添加”“新建” 按钮，填写以下信息：
-外部端口（公网端口）：外网设备访问时使用的 UDP 端口号，自定义时需避开占用端口，如 DNS 服务常用的 53 端口。
-内部端口（内网端口）：内网设备上运行 UDP 服务的端口号。例如，基于 UDP 的在线游戏服务器端口为 20000，此处就填写 20000 。
-协议类型：选择 “UDP”。
-内部 IP 地址：需要映射的内网设备的 IP 地址，如 192.168.1.100 。
-状态：选择 “启用” 使规则生效。
保存设置后，路由器就会将外网的 UDP 访问请求转发到内网设备的对应端口。

二、在 Windows 系统中设置端口转发
在 Windows 系统中，可以使用 netsh 命令来设置端口转发，以实现内网访问等功能。例如，工作中服务器采用双网卡，A 网卡连接办公网络，B 网卡连接内网摄像头网络，想通过端口转发实现办公网对内网摄像头网络的访问，就可以按照以下步骤操作：
1.以管理员身份打开 CMD 窗口：在 Windows 搜索栏中输入 “CMD”，在搜索结果中的 “命令提示符” 上右键单击，选择 “以管理员身份运行”。
2.输入端口转发命令：在 CMD 窗口中输入以下命令：
netsh interface portproxy add v4tov4 listenaddress=办公网络服务器IP地址 listenport=服务器端口 connectaddress=内网需要访问的IP地址 connectport=需要访问IP的连接端口
例如：
netsh interface portproxy add v4tov4 listenaddress=10.11.11.111 listenport=36666 connectaddress=192.168.1.66 connectport=37777
其中，10.11.11.111 是 A 网卡办公网络服务器 IP 地址，36666 是服务器端口；192.168.1.66 是服务器 B 网卡所在内网需要访问的 IP 地址，37777 是需要访问 IP 的连接端口。
3.查看设置是否成功：输入命令netsh interface portproxy show all，如果显示侦听和连接信息，则说明端口转发成功。
若需要删除转发规则，可以按以下步骤操作：
1.以管理员身份打开 CMD：同上述方法打开管理员权限的 CMD 窗口。
2.输入删除命令：在 CMD 窗口中输入netsh interface portproxy delete v4tov4 listenaddress=办公网络服务器IP地址 listenport=服务器端口 。
3.查看是否删除成功：再次输入netsh interface portproxy show all，若对应端口信息不再显示，则说明删除成功。
4.重启策略：输入netsh interface portproxy reset，重启端口转发策略。

三、端口转发注意事项
1.端口冲突排查：在设置端口转发之前，一定要确认设置的端口号没有被其他服务占用。端口冲突会导致转发失败或者现有服务无法正常运行。在 Windows 系统下，可以使用 “netstat -ano” 命令查看端口占用情况；在 Linux 系统下，使用 “lsof -i : 端口号” 命令检查指定端口是否被占用。
2.网络安全考量：开放端口会带来一定的安全风险，容易遭受攻击。因此，在进行端口转发时，要谨慎选择转发端口，只开放必要的服务端口。同时，结合路由器或者系统的防火墙功能，设置访问控制规则，限制只有特定的 IP 地址或 IP 地址段能够访问转发端口。
3.动态 IP 地址应对：如果网络使用的是动态 IP 地址，IP 地址的变化可能会导致端口转发失效。为了解决这个问题，可以使用动态域名解析服务（DDNS），如花生壳提供的动态域名解析功能。它能够将动态变化的公网 IP 地址与一个固定的域名绑定，无论公网 IP 如何改变，外网用户都可以通过域名访问映射的服务。

拓展阅读
-什么是 NAT（网络地址转换）：NAT 是一种将私有（保留）地址转化为合法 IP 地址的转换技术，广泛应用于各种类型 Internet 接入方式和网络中，解决了 IP 地址不足的问题，端口转发是 NAT 的一种应用形式。
-端口扫描工具 Nmap 的使用方法：Nmap 是一款强大的端口扫描工具，使用 “nmap -p 端口号 目标 IP 地址” 命令可以扫描指定 IP 地址的特定端口状态，使用 “nmap 目标 IP 地址” 可以扫描目标 IP 地址的常见端口。
-如何增强端口转发后的网络安全性：可以通过定期更新路由器固件、设置强密码、启用 WPA2 或更高级别的加密协议、使用入侵检测系统（IDS）或入侵防御系统（IPS）等方式来增强网络安全性。