说到端口映射，大家首先应该想到的是通过Windows系统对对象进行内网穿透，以让Windows可以在本地磁盘中看到映射的目标，而在linux环境下进行端口映射shell，也就是实现linux端口映射则需要使用iptables命令，今天小编就来和大家聊一聊如何实现linux端口映射。

什么是linux端口映射？

linux端口映射是将外部主机的IP地址的端口映射到Intranet中的一台计算机，以提供相应的服务。
端口映射可以通过使用动态或固定的公共网络IP路由ADSL宽带路由器来实现。ADSL直接连接到集线器或交换机，以允许计算机共享互联网。
若用户访问提供映射端口的linux主机的端口时，服务器会向LAN中提供此特定服务的主机发送请求。外部IP地址机的多个端口也可以映射到内部网络中不同计算机上的不同端口。端口映射还可以执行一些特定的代理功能。
端口映射分为动态和静态。动态端口映射：内网中的一台电脑要访问网站，会向NAT网关发送数据包，包头中包括对方网站IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

linux端口映射如何实现？

可以将远端服务器一个端口remote_port绑定到本地端口port，其中-C是进行数据压缩，-f是后台操作，只有当提示用户名密码的时候才转向前台。-N是不执行远端命令，在只是端口转发时这条命令很有用处。-g是允许远端主机连接本地转发端口。-R表明是将远端主机端口映射到本地端口。如果是-L，则是将本地端口映射到远端主机端口。
ssh的三个强大的端口转发命令：
转发到远端：ssh-C-f-N-g-L本地端口:目标IP:目标端口用户名 目标IP
转发到本地：ssh-C-f-N-g–R本地端口:目标IP:目标端口用户名 目标IP
ssh-C-f-N-g-D listen_port user Tunnel_Host
-C：压缩数据传输。
-f：后台认证用户/密码，通常和-N连用，不用登录到远程主机。
-N：不执行脚本或命令，通常与-f连用。
-g：在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。
-L本地端口:目标IP:目标端口
将本地机(客户机)的某个端口转发到远端指定机器的指定端口.工作原理是这样的,本地机器上分配了一个socket侦听port端口,一旦这个端口上有了连接,该连接就经过安全通道转发出去,同时远程主机和host的hostport端口建立连接.可以在配置文件中指定端口的转发.只有root才能转发特权端口.IPv6地址用另一种格式说明:port/host/hostport
-R本地端口:目标IP:目标端口
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口.工作原理是这样的,远程主机上分配了一个socket侦听port端口,一旦这个端口上有了连接,该连接就经过安全通道转向出去,同时本地主机和host的hostport端口建立连接.可以在配置文件中指定端口的转发.只有用root登录远程主机才能转发特权端口.IPv6地址用另一种格式说明:port/host/hostport
-p：被登录的ssd服务器的sshd服务端口。
-D port
指定一个本地机器“动态的'’应用程序端口转发.工作原理是这样的,本地机器上分配了一个socket侦听port端口,一旦这个端口上有了连接,该连接就经过安全通道转发出去,根据应用程序的协议可以判断出远程主机将和哪里连接.目前支持SOCKS4协议,将充当SOCKS4服务器.只有root才能转发特权端口.可以在配置文件中指定动态端口的转发.

如何用花生壳实现端口映射？

进入花生壳官网下载花生壳3全新改版客户端，没有护照的用户需要先注册花生壳护照。

在Windows7系统内安装花生壳，完成后登陆。
点击客户端内网映射，则跳转至花生壳管理的内网映射web页面，可以直接在网页中对域名进行添加映射，即使不在服务器现场，也可以远程管理。
下面介绍内网映射添加步骤：
①点击【内网映射】——【添加映射】。
在添加映射页面，填写好“应用名称”，“内网服务器IP”，“内网服务端口”以及选择“外网端口”形式，点击确定即可。
②添加成功后，会生成一个外网访问地址。
③在浏览器地址栏输入外网访问地址，即可成功访问内网主机搭建的服务和应用。
端口映射应用使用最广泛的就是花生壳。搞定端口映射之后，用户都能随心所欲使用强大的互联网服务了。除了搭建网站之外，完成linux端口映射的用户还可以轻松实现远程桌面的搭建和访问、远程监控摄像头、自己开服玩游戏、搭建各类办公系统等等。

说到端口映射，我们首先想到的是通过Windows系统对对象进行内网穿透，以让Windows可以在本地磁盘中看到映射的目标，而在linux环境下进行端口映射shell（也就是实现linux端口映射）则需要使用iptables命令，但是由于相对比较冷门一点关于linux端口映射的步骤很多朋友都不是很了解，下面小编详细带大家了解。

linux端口映射过程有哪些？

CPU将一个虚拟内存空间中的地址转换为物理地址，需要进行两步：

首先，将给定一个逻辑地址（其实是段内偏移量，这个一定要理解！！！），CPU要利用其段式内存管理单元，先将为个逻辑地址转换成一个线程地址，

其次，再利用其页式内存管理单元，转换为最终物理地址。

这样做两次转换，的确是非常麻烦而且没有必要的，因为直接可以把线性地址抽像给进程。之所以这样冗余，完全是为了兼容而已。

进程试图访问用户地址空间中的一个内存地址，利用上面的线性地址去查找页表，确定对应的物理地址，但使用的页表无法确定物理地址（物理内存中没有关联页）

处理器接下来触发一个缺页异常，发送到内核。

内核会检查负责缺页区域的进程地址空间数据结构，找到适当的后备存储器，或者确认该访问实际上是不正确的（未映射，未使用）

分配物理内存页，并从后备存储器读取所需数据填充。

借助于页表将物理内存页并入到用户进程的地址空间，应用程序恢复执行。

这些操作对用户进程是透明的。换句话说，进程不会注意到页是实际在物理内存中，还是需要通过按需调页加载。

以上就是关于linux端口映射的步骤，下面请了解花生壳如何实现linux端口映射。

花生壳如何实现linux端口映射？

第一部分

1)http://service.oray.com/

在花生壳官网上注册一个帐号，网站会给你分一个公网域名

接下来安装花生壳

以Centos为例http://service.oray.com/question/4287.html 有详细的安装说明

对应的注册的帐号Enter your Orayaccount:hlblog <—输入帐号回车 必需事先在贝锐网站中注册护照和密码，然后就那个写在这里
Password:<—输入密码回车
Networkinterface(s):
[eth0] =[IP:192.168.1.103]
[lo]= [IP:127.0.0.1]
Chooseone(default eth0):<—选择网卡回车
Logto use(default /var/log/phddns.log):<—日志文件存放地点回车
/var/log/phddns.log
Saveto configuration file(/etc/phlinux.conf)?(yes/no/other):yes:<—配置文件存放地点回车

这样花生壳就配置好了

2)将phddns拷贝到你希望的位置
[root@localhost src]# cp phddns /usr/bin/

以后台模式启动花生壳并检查运行情况

[root@localhost ~]# /usr/bin/phddns -c /etc/phlinux.conf -d

phlinux started as daemon!

[root@localhost ~]# tail /var/log/phddns.log

将花生壳加到系统启动时运行
[root@localhost ~]# vi /etc/rc.local
在文件的末尾加上一行：/usr/bin/phddns -c /etc/phlinux.conf -d

第二部分
DDNS是动态域名解析，指的是将变化的IP地址与固定的域名对应起来的服务。由于路由器WAN口IP是动态变化的（宽带拨号下），如果登录DDNS，那么只需要使用该域名即可访问到路由器，无需理会动态变化的IP地址。

http://www.kgfanr.com/articles/8090.html （这是tp-link路由器DDND设置的方法）

第三部分

在路由器上添加虚拟服务器。

花生壳端口映射软件，其应用优势众多，能满足广大用户的网络操作，并保证操作安全。总的来说花生壳可以使设备在内网或者没有固定/公网IP，也能轻松通过公网访问。同时因操作简洁，功能齐全，性能稳定，花生壳动态域名解析软件不仅个人用户庞大，而且也深受企业用户的欢迎。无论用户在任何地点、任何时间、任何线路，均可通过固定的花生壳域名访问其远程主机服务。

说到端口映射，我们首先想到的是通过Windows系统对对象进行内网穿透，以让Windows可以在本地磁盘中看到映射的目标，而在linux环境下进行端口映射shell（也就是实现linux端口映射）则需要使用iptables命令，本文小编为大家带来linux端口映射命令介绍。

linux端口映射怎么操作？

本文小编从两种情形来解读linux端口映射的操作问题。

情形一：跨网络、跨主机的映射Full-Nat

我们想到达主机B的80端口，但是由于网络限制可能无法直接完成。但是我们可以到达主机A的8080端口，而主机A可以直接到达B的80端口。

这时候可以使用iptables，将主机B的80端口映射到主机A的8080端口，通过访问A的8080相当于访问B的80。实现如下：

在主机A上直接如下命令，实现端口映射的Full-Nat

01#!/bin/bash
02pro='tcp'
03NAT_Host='Host_A'
04NAT_Port=8080
05Dst_Host='Host_B'
06Dst_Port=80
07iptables -t nat -A PREROUTING -m -p --dport -j DNAT --to-destination :
08iptables -t nat -A POSTROUTING -m -p --dport -d -j SNAT --to-source

说明：

NAT_Pro表示NAT的协议，可以是tcp或udp

NAT_Host表示中间做端口映射的主机。这里也就是主机A

NAT_Port表示中间做端口映射的端口。这里也就是主机A的8080口

Dst_Host表示被NAT的主机。这里也就是主机B

Dst_Host表示被NAT的端口。这里也就是主机B的80口

情形二：主机内部的端口重定向

我们可能需要将访问主机的7979端口映射到8080端口。也可以iptables重定向完成。

01iptables -t nat -A PREROUTING -p tcp --dport 7979 -j REDIRECT --to-ports 8080
　
注意问题：

需要打开ip_forward功能：

01echo '1' > /proc/sys/net/ipv4/ip_forward
　　
以上便是关于linux端口映射命令的一些案例，在不同的情形下我们都可以使用iptables命令来完成这些操作。

花生壳如何实现linux端口映射？

第一部分

1)http://service.oray.com/

在花生壳官网上注册一个帐号，网站会给你分一个公网域名

接下来安装花生壳

以Centos为例
http://service.oray.com/question/4287.html 有详细的安装说明

对应的注册的帐号
Enter your Orayaccount:hlblog <—输入帐号回车 必需事先在贝锐网站中注册护照和密码，然后就那个写在这里
Password:<—输入密码回车
Networkinterface(s):
[eth0] =[IP:192.168.1.103]
[lo]= [IP:127.0.0.1]
Chooseone(default eth0):<—选择网卡回车
Logto use(default /var/log/phddns.log):<—日志文件存放地点回车
/var/log/phddns.log
Saveto configuration file(/etc/phlinux.conf)?(yes/no/other):yes:<—配置文件存放地点回车

这样花生壳就配置好了

2)将phddns拷贝到你希望的位置
[root@localhost src]# cp phddns /usr/bin/

以后台模式启动花生壳并检查运行情况

[root@localhost ~]# /usr/bin/phddns -c /etc/phlinux.conf -d

phlinux started as daemon!

[root@localhost ~]# tail /var/log/phddns.log

将花生壳加到系统启动时运行
[root@localhost ~]# vi /etc/rc.local
在文件的末尾加上一行：/usr/bin/phddns -c /etc/phlinux.conf -d

第二部分

DDNS是动态域名解析，指的是将变化的IP地址与固定的域名对应起来的服务。由于路由器WAN口IP是动态变化的（宽带拨号下），如果登录DDNS，那么只需要使用该域名即可访问到路由器，无需理会动态变化的IP地址。
http://www.kgfanr.com/articles/8090.html （这是tp-link路由器DDND设置的方法）

第三部分

在路由器上添加虚拟服务器。

花生壳端口映射软件，其应用优势众多，能满足广大用户的网络操作，并保证操作安全。总的来说花生壳可以使设备在内网或者没有固定/公网IP，也能轻松通过公网访问。同时因操作简洁，功能齐全，性能稳定，花生壳动态域名解析软件不仅个人用户庞大，而且也深受企业用户的欢迎。无论用户在任何地点、任何时间、任何线路，均可通过固定的花生壳域名访问其远程主机服务。

花生壳可以使设备在内网或者没有固定/公网IP，也能轻松通过公网访问。在花生壳的使用过程，充分感受到其易用性和专业性。有着强大的功能，在设置和使用过程中却非常便捷。同时官方提供各种详尽的的操作说明和良好客服服务。即便是新手也能轻松掌握。在使用一段时间后建议搭配花生壳Pro使用会更加高效与便捷。其应用优势众多，能满足广大用户的网络操作，并保证操作安全。

由于所有用户进程总的虚拟地址空间比可用的物理内存大很多，因此只有最常用的部分才与物理页帧关联。这不是问题，因为大多数程序只占用实际可用内存的一小部分。

在将磁盘上的数据映射到进程的虚拟地址空间的时，内核必须提供数据结构，以建立虚拟地址空间的区域和相关数据所在位置之间的关联。例如，在映射文本文件时，映射的虚拟内存区必须关联到文件系统的硬盘上存储文件内容的区域。

因为文件数据在硬盘上的存储通常并不是连续的，而是分布到若干小的区域。内核利用address_space数据结构，提供一组方法从后备存储器读取数据。例如，从文件系统读取。因此address_space形成了一个辅助层，将映射的数据表示为连续的线性区域，提供给内存管理子系统。

按需分配和填充页称为按需调页法。它基于处理器和内核之间的交互，使用的各种数据结构

linux端口映射过程

CPU将一个虚拟内存空间中的地址转换为物理地址，需要进行两步：

首先，将给定一个逻辑地址（其实是段内偏移量，这个一定要理解！！！），CPU要利用其段式内存管理单元，先将为个逻辑地址转换成一个线程地址，

其次，再利用其页式内存管理单元，转换为最终物理地址。

这样做两次转换，的确是非常麻烦而且没有必要的，因为直接可以把线性地址抽像给进程。之所以这样冗余，完全是为了兼容而已。

进程试图访问用户地址空间中的一个内存地址，利用上面的线性地址去查找页表，确定对应的物理地址，但使用的页表无法确定物理地址（物理内存中没有关联页）

处理器接下来触发一个缺页异常，发送到内核。

内核会检查负责缺页区域的进程地址空间数据结构，找到适当的后备存储器，或者确认该访问实际上是不正确的（未映射，未使用）

分配物理内存页，并从后备存储器读取所需数据填充。

借助于页表将物理内存页并入到用户进程的地址空间，应用程序恢复执行。

这些操作对用户进程是透明的。换句话说，进程不会注意到页是实际在物理内存中，还是需要通过按需调页加载。

花生壳内网穿透教程分享

进入花生壳官网下载花生壳3全新改版客户端，没有护照的用户需要先注册花生壳护照。

在Windows 10系统内安装花生壳，完成后登陆。

点击客户端内网映射，则跳转至花生壳管理的内网映射web页面，可以直接在网页中对域名进行添加映射，即使不在服务器现场，也可以远程管理。

下面介绍内网映射添加步骤：

①点击【内网映射】——【添加映射】。

在添加映射页面，填写好“应用名称”，“内网服务器IP”，“内网服务端口”以及选择“外网端口”形式，点击确定即可。

②添加成功后，会生成一个外网访问地址。

③在浏览器地址栏输入外网访问地址，即可成功访问内网主机搭建的服务和应用。

搞定端口映射之后，内网用户也能同公网用户一样随心所欲使用强大的互联网服务了。除了搭建网站之外，完成内网穿透的用户还可以轻松实现远程桌面的搭建和访问、远程监控摄像头、自己开服玩游戏、搭建各类办公系统等等。

很多情况下，我们往往需要通过对某个端口进行转发(端口映射)实现某些特殊功能，比如堡垒机和负载均衡什么的。linux端口映射工具哪个比较好就成为了很多人关心的话题。在了解linux端口映射工具之前，必须搞明白端口映射是什么？本文小编一一为大家解答。

在网络技术中，端口（英文Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。

我们这里所说的端口，不是计算机硬件的I/O进出端口，而是软件形式上的概念。

linux端口映射工具有哪些？

Linux防火墙模式——反向NAT

这种模式大多是要求用户很快速的实现将外网的某个端口eth0 1.1.1.1:80的流量引流到内网的一台主机10.0.0.1:8080中，本机内网IP eth1 10.0.0.2这种模式性能是毋庸置疑的，但相对来说稳定性和可控性不佳，往往用于临时过渡。

sysctl net.ipv4.ip_forward=1 #这个配置非常重要!

iptables -t nat -A PREROUTING -d 1.1.1.1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.1

iptables -t nat -A POSTROUTING -s 10.0.0.1/255.0.0.0 -d 10.0.0.1 -p tcp -m tcp --dport 8080 -j SNAT --to-source 10.0.0.2

Haproxy

这个方式其实根防火墙模式很相似，不过经过HAproxy的封装，增加了很多方便的配置，你可以很方便的配置出简单的负载均衡规则，状态监控，日志方式甚至于配置心跳等，适合作为中等以上规模的负载均衡集群。

具体的配置大家可以参考官方文档或者直接修改安装包内的默认配置文件，非常浅显易懂!

SSHtunnel

不得不说，SSH是一个很强大的工具。它完全可以应付简单的端口转发和链路加密。适用于低流量的两台互信主机之间的信息加密，它还有个特点是它支持带宽压缩，可以节约部分带宽资源。

配置方式：

通过ssh的tunnel达到邮件在传输的过程中不会受到中间人攻击造成数据泄露。

故名思义，tunnel就是在邮件服务器和企业防火墙之后设置一条逻辑上的隧道。这条隧道一方面为了数据安全，另一方面，由于ssh的压缩功能也能在一定程度上减少邮件这类纯文本传输的网络需求。

先决条件：

Unixlike的邮件系统，并安装了ssh-server，本例中假定邮件服务器ip为1.2.3.4

企业路由器和内网：路由最好有vpn和防火墙功能。

内网的 一台主机，配置不必太高(我用了虚拟机，64M内存已经足够近百人使用)，安装有ssh-client，如果是win主机，推荐使用putty的安装版本。经过测试，个人觉得FreeBSD下的性能较好。考虑到安全，这台主机尽量不要安装远程控制台并尽可能上锁。本例假定ip 192.168.1.1。

注意整个系统的安全策略，账户策略等，相比中间人攻击这样的“高级”黑客行为，破解密码，利用漏洞永远是成本最低的方法。

SSH隧道实现安全Mail系统示意

第一步：设置公钥方式登录：

内网主机上运行mkdir -p ~/.ssh;cd ~/.ssh;ssh-keygen –d，如果变态一点可以使用ssh-keygen -b 4096 -d增加强度，之后 不要输入任何信息，一律回车带过，很多人不能实现ssh的无验证通过，大多是因为这里没有弄好。这样~/.ssh目录下将会出现id_dsa 和id_dsa.pub两个文件。

将内网主机的id_dsa.pub文件拷贝邮件服务器，并在邮件服务器上执行cat id_dsa.pub >> ~/.ssh/authorized_keys 。尝试在内网主机上执行 ssh A主机的IP ，成功地话应该没有提示密码(即直接得到A主机的控制台)。

如果经常来小站做客的朋友会觉得这段很熟，没错它贴自这里，如果你用了windows作为内网主机，请参考这里的内容。

第二步：配置管道：

写个脚本 vi /usr/sbin/ssh_tunnel

!/bin/sh
localIP='192.168.1.1'

removteIP='1.2.3.4'

ports='25 80 110' #3个端口，smtp http pop3

for port in $ports

do

/usr/bin/ssh -C -N -f -L $localIP:$port:$removteIP:$port root@$removteIP &

done

chmod 755 /usr/sbin/ssh_tunnel

修改rc.local文件，在其中加入 /usr/sbin/ssh_tunnel，当然要放在exit那条之前。

windows不是很熟，写个笨蛋批处理吧ssh_tunnel.cmd

start /min cmd /c 'C:Program FilesPuTTYplink.exe' -C -N -f -L 192.168.1.1:25:1.2.3.4:25 root@1.2.3.4

start /min cmd /c 'C:Program FilesPuTTYplink.exe' -C -N -f -L 192.168.1.1:80:1.2.3.4:80 root@1.2.3.4

start /min cmd /c 'C:Program FilesPuTTYplink.exe' -C -N -f -L 192.168.1.1:110:1.2.3.4:110 root@1.2.3.4

其实putty的那个plink效果完全等同于ssh，当然，win下面主要是用里面的窗口程序，大多数人不怎么用而已。win下比较烦的是每次重起后都要手工加载key，执行这个批处理。希望对win熟的朋友可以提供自动解决方法。

第三步：设置邮件服务器防火墙

通过邮件服务的防火墙关闭除25和22之外的所有端口。这样做是最安全的，但这样的后果是在企业局域网之外只能发不能收邮件。VPN是比较好的折中方案。当然，如果你的邮件系统只需要内部收发邮件(那还要什么邮件系统?)，你尽可以连25号也封上。

第四步：设置本地邮件客户端

将局域网内所有邮件客户端的smtp和pop都设置为192.168.1.1即可。我这里由于用了webmail，webmail同样也通过192.168.1.1访问

如果企业有自己的DNS服务器，甚至整个公司都在域管理模式之下。不妨通过本地的DNS服务器用本地IP覆盖掉外网真实IP。这样即便没有vpn，只要不封邮件服务器的110端口，在邮件客户端中设置域名，对用户来说在任何地方都是透明的。

花生壳端口映射软件，其应用优势众多，能满足广大用户的网络操作，并保证操作安全。花生壳端口映射软件自带端口映射功能，可以帮助用户解决各种网络需求，同时还能帮助用户实现内网穿透，即便用户处于复杂的网络环境中，花生壳也能正常解析域名。