1、实验拓朴图
image
  2、设置服务器IP:192.168.0.66,其它默认,可测试HTTP和FTP(用户和密码cisco)
image
  3、内网PC:设置自动获取IP,得到192.168.0.100,测试服务器FTP(WEB类似)
image
  4、配置家用路由器外网静态IP:60.60.60.60/29及外网PC的IP:60.60.60.58/29
image
image
这时内网PC已可以访问外网了,PING外网PC的IP
image
  4、想要让外网PC能访问内网的服务器,可设置家用路由器的DMZ(Demilitarized Zone隔离区,也称非军事化区),DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。image
测试外网访问内网WEB和FTP
image
image
  5、但是DMZ实际上是完全暴露在互联网上,可以认为是互联网上的一台主机,它相当于映射所有的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。
  为了安全,可以设置端口映射,它是单个外部端口与单个内部主机端口之间的映射,它只映射指定的端口;实际上是在NAT转换表里面建立一个静态的项目,任何符合该NAT表项的外部数据包直接转发给内部某主机。
  先关闭DMZ,再映射192.168.0.66的WEB和FTP
image
  6、FTP端口映射时,要注意,它与大多数据单个连接的TCP服务不同,使用双向的多个连接,而且使用的端口很难预计。
  FTP连接包括:控制连接(control connection):用于传递客户端的命令和服务器端对命令的响应,固定为21端口;
  数据连接(data connection,FTP-DATA):用于传输文件和其它数据,例如:目录列表等。 它有两种模式,acitve mode(主动模式,PORT模式)是服务器指定了几个开启的端口用于传输数据,一般为20端口;passive mode(被动模式,PASV模式)是随机地产生几个端口用于传输数据,而且是不固定的。
  因为PT里的服务器只有被动模式,所以做FTP端口映射只能让外网登录上来,无法列目录。真实情况下,要做FTP端口映射,应将FTP服务器尽量设置为主动模式,并映射20,21两个端口。