端口映射与端口转发的区别

如果不深入探究，端口映射与端口转发这两个概念很容易被混淆。接下来，我们将深入剖析这两者的异同。

▍ 端口映射的定义

端口映射是将内网主机的端口与外网主机的相应端口关联，通过路由器反向代理实现特殊服务访问。端口映射，简而言之，就是将内网主机的某个端口与外网主机的相应端口进行关联，从而实现特定服务的访问。当外网用户尝试访问外网IP的指定端口时，服务器会智能地将请求重定向至局域网内的目标机器。

举例来说，假设我们内网中部署了一台Web服务器，但外网用户无法直接访问。此时，我们可以在路由器上配置端口映射。一旦外网用户访问路由器IP的80端口，路由器会立即将流量转向内网Web服务器的80端口。此外，路由器还维护着一个Session，确保在数据传输过程中，能够准确地将响应发送回外网请求用户的主机。在整个过程中，路由器扮演着反向代理的角色，有效保障了内网主机的安全。

▍ 端口转发的定义

端口转发，有时也被称为隧道，是安全壳（SSH）为确保网络安全通信所采用的一种基于IP和端口绑定的隧道技术，实现内网用户通过NAT访问外网资源。它允许内网用户通过路由器NAT功能访问外网资源，即便内网中无法直接连接外网。在拥有众多主机的内网环境中，所有主机都通过路由器的一个公网IP与外网进行交互。那么，当外网的消息回传时，路由器如何区分这些消息的归属呢？关键在于IP地址与路由器端口的绑定机制。路由器内部维护着一张内网IP与路由器端口之间的对应表。当路由器的10000端口接收到消息时，路由器会查找这张表，确定将消息发送给哪台主机；同样，20000端口接收到的消息则会被发送给另一台主机。这就是端口转发的基本原理，它实现了将一个端口接收到的流量转发至另一台主机的功能。

▍ 两者差异

用日常生活的例子来阐释端口映射与端口转发的区别会更为直观：

端口转发：其核心在于“转发”这一动作。想象一下，有位快递员送来了一批包裹，他将这些包裹全部交给了门口的保安。随后，保安会依据包裹上收件人的信息，逐一将包裹分发给对应的收件人。

端口映射：则更类似于在大门口为每位收件人设置一个专门的储物柜。快递员无需经过保安，只需根据收件人的姓名，直接将包裹放入相应的柜子中即可。

 端口映射问题排查

在完成路由器网关的端口映射设置后，若发现外网无法正常访问，这可能是由于多种原因造成的。网关端口映射未成功可能因端口冲突、防火墙设置或NAT问题。检查并确保配置正确，解决访问问题。以下是一些可能的原因及相应的排查方法：

1. ​端口冲突：确认映射的端口是否已被其他服务占用。如果目标端口已被占用，您需要选择其他空闲端口进行映射。

2. 防火墙设置：检查路由器和内网服务器的防火墙设置，确保它们允许通过映射的端口进行通信。

3. 网络地址转换（NAT）问题：在某些情况下，NAT配置可能会阻止外网访问。检查并确保NAT设置正确，允许通过映射端口的数据包转发。

4. DNS解析问题：确保您的域名已正确解析到路由器的公网IP地址。

5. 路由器重启：在完成所有设置更改后，确保路由器已重启以使新配置生效。