端口映射内部端口和外部端口是什么意思？

在网络端口映射的情境下，内部端口和外部端口扮演着至关重要且功能各异的角色。内部端口指的是位于内部网络（内网）中，设备所提供服务对应的端口号。比如常见的Web服务器使用80端口（HTTP协议）或443端口（HTTPS协议），FTP服务器使用20和21端口等。这些端口用于标识内网设备上运行的具体服务，以便设备内部及内网中的其他设备能够准确访问相应服务。
而外部端口则是面向外部网络（外网）的端口号，它充当着外网访问内网服务的入口。当外网用户试图访问内网中的某个服务时，实际上是通过访问路由器或防火墙等网络设备上指定的外部端口来发起请求。外部端口起到了将外网请求导向内网特定服务的桥梁作用。
例如，你在内网搭建了一个Web服务器，其IP地址为192.168.1.100，运行在默认的80端口。由于内网设备的IP地址（如192.168.x.x这类私有地址）无法直接被外网访问，为了让外网能够访问这个Web服务，需要在连接内网与外网的路由器上进行端口映射设置。假设路由器的公网IP为202.100.1.1，将路由器的8080端口（外部端口）映射到内网Web服务器的80端口（内部端口）。此时，外网用户在浏览器中输入“ http://202.100.1.1:8080 ”，路由器接收到这个请求后，会依据端口映射规则，将该请求转发到内网IP为192.168.1.100的Web服务器的80端口上，从而实现外网对内网Web服务的访问。
在设置端口映射时，内部端口和外部端口的选择需要谨慎考虑。内部端口通常要与内网设备上实际运行服务所使用的端口一致，否则服务无法正常被访问。而外部端口的选择，一方面要避免与路由器本身以及其他已映射服务所使用的端口冲突；另一方面，从安全角度出发，不建议直接使用常见服务的默认端口（如80、22等）作为外部端口，因为这些默认端口更容易成为黑客扫描和攻击的目标。可以选择一些相对冷门且未被占用的端口号作为外部端口，然后通过端口映射规则将其与内网服务的内部端口关联起来。
端口映射中的内部端口和外部端口各司其职，通过合理的设置和关联，突破了内网与外网之间的访问限制，使得内网服务能够安全、有效地向外部网络开放。

拓展阅读

1、NAT与端口映射的关系：网络地址转换（NAT）技术是端口映射的基础。NAT主要负责在私有网络与公共网络之间转换IP地址，而端口映射是NAT中目的地址转换（DNAT）的一种应用场景。通过在NAT设备（如路由器）上配置端口映射规则，将公网的“IP+外部端口”映射到内网设备的“IP+内部端口”，实现外网对内网服务的访问。
2、端口扫描与端口映射安全：端口扫描是黑客常用的手段，他们通过扫描目标主机的端口，探测哪些端口处于开放状态，进而寻找可利用的服务漏洞。在进行端口映射时，若将不必要的端口开放，或者使用默认易被攻击的端口，会极大增加内网设备被攻击的风险。因此，除了合理选择外部端口外，还应结合防火墙、访问控制列表（ACL）等手段，严格限制对映射端口的访问，只允许授权的IP或网络段进行访问。
3、动态端口映射（UPnP）原理：动态端口映射，即通用即插即用（UPnP）技术，允许设备在需要时动态地向路由器申请端口映射。例如，当内网中的游戏主机需要与外网的其他玩家建立连接时，游戏主机可通过UPnP协议自动在路由器上创建一个临时的端口映射，将游戏所需的内部端口映射到一个可用的外部端口。这种方式无需用户手动配置端口映射，方便快捷，但由于是动态且自动配置，在一定程度上也增加了安全风险，因为可能会开放一些不必要的端口，所以在安全性要求较高的环境中，需谨慎使用UPnP功能。