小米路由器设置DMZ主机 并在外网访问
一、前提条件：
1、小米路由器
2、拥有公网IP的网络
二、步骤：
1、登陆小米路由器管理界面
miwifi.com
2、高级设置=》端口转发
页面底部的DMZ选项开启，然后选择需要映射到外网的内网主机ip，成功之后如图
常用设置=》上网设置
中查看路由器的外网对外IP，请注意：有效的公网IP 不是100.xx.xx.xx、10.xx.xx.xx、192.xx.xx.xx类型的，我之前的ip是100开头的，经查询这是电信用NAT模式给用户分配的地址，也就是一个大局域网中的内网IP，这种是不可以使用的，必须要公网IP。如果是100开头的IP可以打电信客服投诉要求更换，比较正当的理由是家里需要安装监控，需要公网IP，让技术部门给修改成公网IP，亲测可行。
4、通过路由器的公网IP即可连接路由器中设置的DMZ主机，需要注意几点：
a、DMZ主机是开放了内网电脑的所有端口，如果不需要开放所有端口的话可以使用端口转发功能，DMZ和端口转发不能同时使用，如果需要映射多台主机到外网可以使用端口映射更加灵活操作
b、在外网访问该DMZ主机不能使用80端口，因为电信运营商屏蔽掉了ADSL的所有80端口转发
c、在外网访问DMZ主机，只需要通过路由器中的公网IP加端口号即可成功连接DMZ主机，如果主机启动了ssh服务可以用ssh工具登陆内网主机
d、公网IP是每次短线拨号都会更改，所以需要经常关注IP的变化，比较好的做法是申请一个域名，也可以用花生壳之类的域名解析到主机上，花生壳的好处是可以直接在路由器上设置绑定，在ip更换时候自动修改解析，弊端是花生壳解析不稳定，经常不可用，我的做法是配置花生壳，另外自己买个域名也解析到自己路由器的公网ip上，在无法访问的时候就ping一下花生壳里边的域名就可以知道自己路由器上最新的ip，然后登陆万网修改解析到新的ip地址上，平时使用还是使用万网的域名，毕竟比较稳定。
5、一切配置完毕之后相当于有了自己的私有一台云主机，方便远程往自己家里的电脑存取数据，当然可以自己架设网站，svn服务等等，非常方便。
小米路由+花生壳动态域名搭建web服务
路由器DMZ原理
路由器虚拟服务器、DMZ配置,让你的网站在外网能够访问
关于小米路由MINI无法端口转发的问题
设置端口映射或DMZ主机---将内网web服务器映射入公网
如何使用局域网中一台机器搭建面向广域网的Web服务器: DMZ主机
虚拟服务器/DMZ/花生壳
没有更多推荐了，路由器怎么设置开启服务端主机为dmz主机_百度知道
路由器怎么设置开启服务端主机为dmz主机
进入192.168.1.1 输入账号和密码后要怎么弄 请说详细点 谢谢~
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
获取IP地址和DNS地址在开始菜单中进入所有程序→附件→命令提示符，然后输入命令ipconfig /all并回车。在输出的字符中，找到无线网络连接或者本地连接(看你用无线还是有线)，查看IP地址和网管、DNS服务器。找到诸如192.168.1.8这样的数字组，就是所谓的IP地址。找到“无线网络连接”以Windows7为例子，设置自己的IP地址为固定IP。进入网络与共享中心→点击“更改适配器设置”→找到本地连接或者无线网络连接(看你是用无线还是有线网络)→点击鼠标右键选择“属性”。&设置本机IP地址在“此连接使用下列项目”中找到“Internet协议版本4(TCP/IPv4)”，并点击下方的“属性”，进入IPv4的设定。在这里把你的IP设置为前面第一步找到的IP地址，同样设置DNS服务器的IP地址，然后保存退出。DNS也可以设置为本地电信的DNS或者谷歌的DNS(8.8.8.8)。登录无线路由器设置界面也可以在路由器端绑定IP地址，在路由器的DHCP设置中，进入静态DHCP选项。在这里，输入第一步中所显示的MAC地址和IP地址，例如00-1A-73-88-0B-07就是MAC地址，在路由器里输入一般不用输入“-”而可能会用“:”替代，这里请注意。在这里绑定会比在电脑端绑定要好些。设置DMZ主机有的路由器的DMZ设置和端口转发功能在一起，也有的路由器的DMZ设置在“高级管理”页面中，有的在“基本设置”中，不一而论。如果实在找不到的话，翻下说明书吧。在DMZ设置中，勾寻启用DMZ”然后设置DMZ主机的IP地址，点击“应用”就可以了。DMZ和端口转发都能让电脑绕过路由器实现外网的“直接”访问。但是DMZ主机比端口转发更直接，更彻底。这样说吧，端口转发指的是特定端口的转发，而DMZ主机则不同，是实现几乎“全端口”的转发。有时候玩网游卡或者下载速度上不去，不管哪种软件都能用DMZ来解决。不过，需要提醒的是如果使用DMZ主机，那么主机会“暴露”在外网中，相比网内电脑更容易受到攻击.　　
采纳率：37%
转发规则-DMZ主机-点击起用,然后设下ip地址
本回答被提问者采纳
为您推荐：
其他类似问题
dmz主机的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。路由器设置 DMZ 或者端口映射外网还是无法访问内网
13:03:07 +08:00 · 10296 次点击
整件事情我只能用诡异来形容：
比如我外网 IP x.x.x.x
本机内网 ip:192.168.1.111,
路由器添加 DMZ 主机 192.168.1.111
本地 localhost 可以通过 80 端口访问：即 http://localhost:80 ，也可以通过 http ：//x.x.x.x 访问
手机使用 wifi 也能访问，但是手机转到 4G 网就无法访问了，我问了别人也不能访问，但是奇怪的是：
我 dmz 换到 192.168.1.112 ，,这个 ip 是我本机虚拟机中的 centos ，这个 centos 可以通过阿里云（这个阿里云无论从哪里 ssh 进去都行） ssh 连接。并且阿里云也可以 curl http://x.x.x.x 得到正确的内容,即使是这样，我手机还是无法访问，只能通过 wifi 访问。
这到底怎么回事？
55 回复 &| &直到
16:13:03 +08:00
& & 13:05:30 +08:00
& & 13:07:22 +08:00
听说前几天有人说 ISP 封端口，有没有可能是这个害的
& & 13:11:06 +08:00 via Android
如果是移动宽带的话就不奇怪了，移动宽带即便分配到公网 ip ，也不能被电信联通访问，只能被国外或者移动或者 BGP 线路访问
& & 13:13:56 +08:00
拨号光纤？ 80 端口被运营商封了是正常的事。
& & 13:17:23 +08:00
@ 可是别的端口也不行
& & 13:18:21 +08:00
@ 我任意端口都不行，应该不是端口的问题，我猜是不是我路由器的问题？
& & 13:19:14 +08:00
@ 为了省钱，用的长城宽带。。。
& & 13:19:26 +08:00 via iPhone
确定 ip 是 公网段
& & 13:20:57 +08:00
长城会分配公网 IP ？
& & 13:22:33 +08:00 via Android
应该不是路由器的问题，我曾经这么做的时候，也遇到过这种情况(移动宽带)。但是用联通的就没有这个问题。不过，我并没有深究这个问题。……因为折腾下去，不如直接用 VPS …
& & 13:28:18 +08:00
@ 我百度搜索 ip 出来的是 115.175 开头的，难道有可能是分配到我路由器的 ip 已经是 192 开头的吗？
& & 13:29:13 +08:00
@ 我这个台式机马上退休了，想以后放在家里常年开机。。。。
& & 13:41:04 +08:00
你要在路由里看 WAN 分配的 IP 。长宽基本都是内网 IP 了吧。。
& & 13:45:17 +08:00 via Android
都说了，这种情况是:有公网 ip ，但是 isp 限制其他 isp 访问，所以只有同 isp 或者 BGP 可以访问
& & 13:48:05 +08:00
长宽就是一个大局域网，你还得再找他们 DMZ
& & 13:50:10 +08:00
@ 看了一下，路由器设置界面 wan 里面的 ip 也是这个 115.175 开头的
& & 13:54:37 +08:00
@ 果然是，打客服问了没有公网 ip ，真是给跪了，浪费我不少时间
& & 13:55:15 +08:00 via Android
屏蔽外部主动发起的全部连接，只允许内网发出连接和外网的回复，我是这样理解的。
& & 14:06:48 +08:00 via iPhone
楼主什么宽带？比如电信分了公网和内网。
& & 14:25:36 +08:00
@ 长宽的，打电话问了是内网
& & 14:37:35 +08:00
就国内这种网络环境，出现啥稀奇古怪的问题都有可能，墙、运营商、网络设备、终端上的各种流氓软件等都有可能制造问题。。。
& & 14:51:57 +08:00 via iPhone
你分到的所谓公网并不一定是公网 IP ，他有可能上层就做了一次 nat 转为私网
& & 15:05:06 +08:00
@ 比如具体来个实际例子~
& & 15:05:14 +08:00
肯定不是公网 ip
& & 15:08:59 +08:00 via Android
电信也不能访问 80 口，可能 8080 也是不行
& & 15:17:57 +08:00
& & 15:35:32 +08:00
联通 封 80
走 https 443 可以
& & 15:55:13 +08:00 via iPhone
比如西安原铁通，分给你公网 ip ，实际进机房就转为 192.168.x.x ，然后再统一出去时转为公网 ip ， 2 次 nat 。
& & 16:22:55 +08:00
电信 80 全封，我公司现在用 8888
& & 16:51:15 +08:00 via Android
國內除了電信和聯通的家寬，公網 IP 沒一個能用的。主要是分配了公網 IP 還是會經過 nat ，使得公網 IP 入站連不通。典型如部分地區的移動和北京的長城(鵬博士)寬帶
& & 20:51:02 +08:00
@ 然而北京电信通是有公网 IP 的，我试过移动、联通均可入站访问哦~
& & 20:54:30 +08:00
我和楼主相同状况！联通。猜想是 ISP 的问题
& & 21:42:13 +08:00 via iPhone
能访问才怪
& & 22:38:27 +08:00
想起来曾经做的一个网络工程需求了某个小宽带运营商你访问
查看到你的 IP 是 123.123.123.123然后你查看你的 PPPOE 连接， IP 地址也是 123.123.123.123然后别人通过 123.123.123.123 是找不到你的为啥呢？因为使用 123.123.123.123 出口的每一个用户， pppoe 过来给你的地址都是 123.123.123.123这样，你的问题就可以用你电脑防火墙有问题解释了……
& & 00:32:26 +08:00
用了多久啊不知道长宽是局域网。。
& & 09:38:59 +08:00
去年电信还是公网 ip.一直没注意....昨天晚上看了看....也变成内网 ip 了
& & 11:54:12 +08:00
我一朋友公司被忽悠办了长宽专线 8000 多一年固定 IP 业务，后来装用友 u8 用不了，我过来一看，这固定 IP 还是长宽内网的，跟本不是外网。长宽这种垃圾就是骗子
& & 20:32:57 +08:00
@ 这是你做的吗？听你这么一说，应该是那种类似小区内部宽带的工程吧@ 你这是哪里长宽？
& & 21:49:26 +08:00
@ 广州长宽
& & 21:51:54 +08:00
@ 出口走哪里？
& & 21:56:48 +08:00
长宽出口都是多变的，全国乱跳。坑，固定 IP 还在鹏士内网，各种需要公网 IP 的业务根本无法用
& & 22:01:04 +08:00
@ 好像我看网上说，鹏博，长宽，电信通，宽带通，这四家宽带全是一家人？
& & 22:02:48 +08:00
@ 对啊，就是那个鹏博士集团的
& & 22:08:26 +08:00
发布内网服务到公网，楼主可以参考下花生壳，不过花生壳要付费的。我那朋友的用友 U8 服务就是花生壳+瑞友搞定了，具体可以看到花生壳官网
& & 22:08:29 +08:00
@ 那你朋友公司那根长宽你实际使用体验过吗？抛开假外网 ip 、访问国外这两点。长宽专线国内访问如何？比如说传百度，传 115 这种网盘应用
& & 09:12:41 +08:00
@ 是我做的。某个城市的曾在中移动固网当一把手的家伙，被电信挖走了，然后利用自己的资源开了个二道贩子宽带公司，蹭当地移动电信的传输网做的买卖不小的，当地有不少小区客户，我看过用户数据库，因为销户只是过期并不删除，数据库用户数六位数了我看了你说这个，原来长宽这么搞，我算是明白他这个需求是学谁的了……
& & 13:15:42 +08:00
@ 你是真大神！越说我越觉得玄乎啊。我想了解几个细节，方便的话能不能说说？你说那个在移动当一把手的人，他是怎么联系到你的？你说他“蹭当地移动电信的传输网”，我可不可以理解为他用了电信和移动的光纤线路，只是他用电信和移动的光纤做为一个单纯的传输管道作为他的机房和他用户之间的一个连接渠道？（也就常说的“裸光纤”）。他的出口是从哪里买来的？一年多少钱？是不是也学长宽这样搞缓存、搞劫持、搞内网 ip ？你在技术上是怎么帮他实现的？（ pppoe 拨号、计费认证、流控、机房设备、服务器）
& & 13:34:16 +08:00
@ 联系我的不是那个老板 是他手底下办事的人 他蹭传输网 就是 XXX 管道公司的东西 借着移动电信公司的名义 就是移动和电信实际掏钱（占用都是大承包一口价，实际光纤他们安装） 接入是走广电渠道，打着广电名义去跟移动联通有接入，相当于，出口上他是个广电的代理商，用户端到二级有出口的机房，用移动和电信关系用移动电信名义蹭接入管道传输网城市的地下井管道传输是有专门的公司的，比如你公司商业总部在北京 CBD 租了一层楼，开发什么的实际干活部门在望京有一栋楼，想要把这俩地方连起来，并不是一定需要找网络提供商的，你要是知道怎么搞，可以去跟 [北京管道传输有限公司] 去谈租用一个望京到你楼下的管道井通道，自己走光纤（虚拟情况，北京的地下管道产权什么的不清楚啊，这个每个市甚至每一片区都不一样，早年电信网通没拆的时候，有些城市有些通信人自己出去承包了这些东西，这些就不归传输局管了）话说回来，我跟他们接触主要是，他们技术总负责跟我有私交，最主要的就是给他们做一系列内部应用，其他的相关的，他们技术一把跟我一样都是啥都懂一些，一起先碰碰方案，怎么能实现，做个原型，然后安排技术落实细节。 设计这个的那个时代，还没有反向代理缓存什么的这个概念，加上他们实际出口是广电名义，这些是广电需要考虑的东西这是北方联通强势地区，电信有一阵子为了拓宽市场，从本地移动联通挖了一大堆高管和中层，他们老板就是以前在中移动管用户宽带、企业宽带什么这片的一把手，被电信挖走在电信在职。
& & 18:05:55 +08:00
@ 我看你说的感觉迷迷糊糊的，我个人理解，你说的意思是不是这人相当于是给广电干活？然后广电给他开工资？
& & 18:10:51 +08:00
@ 广电宽带承包商从广电拿到二级机房的出口 自己发展用户，自己拉光纤从二级机房到终端机房到用户
& & 21:30:11 +08:00
@ 按照你说的，我理解是这样:电信联通是一手带宽，广电从电信联通那边买来带宽，相当于是电信联通的二道贩子。然后这个人又跟广电买带宽过来自己搞宽带发展用户，相当于是三手带宽，我这样理解对吗？
& & 21:35:38 +08:00
@ 这边广电跟电信联通签的也不是一般小宽带商那种租用有限带宽的他那边本质就是广电，接入广电那边的网络也是没限速的，接入上跟广电直接发展用户没区别。同一个二级机房，拉到小区 A 是广电自己拉的，那就交钱给广电，拉到 B 小区的是他们拉的，就算他们的， radius 什么是他们的而已2014 年起他们都开始玩光改了，直接入户光纤而且他们还有部分小区零散的纯电信宽带，纯铁通光纤，在二级机房有连接，再去谈，基本都是足量宽带
& & 10:50:23 +08:00 via iPhone
@ 听你这么说，那他还算是做得有点规模的啊？不过他从广电拿带宽，然后再自建机房发展用户，他跟广电这之间的利益怎么分成？他要给广电交多少钱？
& & 10:55:43 +08:00
@ 有点规模……一个副省级城市的两家运营商都说得上话的大领导以权谋私，一年净利挣不到个福彩头等奖我都觉得折腾的不值……价格，不清楚。这是人家核心机密……
& & 16:13:03 +08:00 via iPhone
@ 看来在中国，上个网都水深啊
& · & 2559 人在线 & 最高记录 3762 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 20ms · UTC 10:17 · PVG 18:17 · LAX 03:17 · JFK 06:17? Do have faith in what you're doing.查看:1086|回复：14
结构如下图所示，本以为如此配置后当PC访问192.168.0.100的时候会映射到路由2网段下面的192.168.1.100，但实际情况是无法访问，映射失败~~~~~ 如果监控录像主机和路由器2均开启upnp后按照以上的访问方式就可以正常通信，请问是我对DMZ功能使用错误还是因为路由设备的问题所致呢？当前测试过的路由有tplink r-406、磊科285p、华硕N54U，另外测试中为避免端口冲突路由2的管理端口已由默认80改为88（监控录像机默认端口是80、554、443、、9020），也试过换成NAS代替录像机来做试验，依然不行，望各位前辈指导一下~
问题补充：实际应用中我是想为刚做好的监控系统给所属的几栋办公楼配置预览管理接口，如下图所示，每栋办公楼里的路由2是我计划增添上去的，构思如果可行，他们只需要访问X.X.X.100就可以进入监控系统~ 普通路由可行的话成本投入也相对较小
(42.05 KB)
本帖最后由 百年癫狂 于
04:49 编辑
指望投入很小的设备去完成你要的那个，费劲了呢。可能路由器不能好好的转发你的录像访问数据吧。
你都说如果监控录像主机和路由器2均开启upnp后按照以上的访问方式就可以正常通信，那么就这么做咯。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
三心二意的小白版主。转行迫在眉 ...
引用:原帖由 百年癫狂 于
03:27 发表
结构如下图所示，本以为如此配置后当PC访问192.168.0.100的时候会映射到路由2网段下面的192.168.1.100，但实际情况是无法访问，映射失败~~~~~ 如果监控录像主机和路由器2均开启upnp后按照以上的访问方式就可以正常通信，请问 ... 建议你去好好理解dnz 非军事区的 意义。
&大师，什么是快乐的秘诀?&
&不要和愚者争论.&
&大师，我完全不同意这就是秘诀.&
&是的，你是对的。&
助理工程师
PC直连路由器WAN口访问试过没
本帖最后由 gogodidi 于
13:09 编辑
引用:原帖由 天月来了 于
08:49 发表
指望投入很小的设备去完成你要的那个，费劲了呢。可能路由器不能好好的转发你的录像访问数据吧。
你都说如果监控录像主机和路由器2均开启upnp后按照以上的访问方式就可以正常通信，那么就这么做咯。 ... 感谢天月版主的回复，只为一个地点做预览接口的话用upnp是可以，但第二个、第三个、第四个地点的局域网就没法这样继续操作了~ 我在总结是因为廉价家用路由设备性能问题还是我对DMZ功能使用理解错误
引用:原帖由 lygzhan 于
12:50 发表
建议你去好好理解dnz 非军事区的 意义。 感谢回复，一些较深层次的网络技术概念我的理解是比较模糊的，一直以为DMZ只是把内网中某个IP设备的所有端口完全映射到WAN口去
引用:原帖由 gogodidi 于
13:05 发表
PC直连路由器WAN口访问试过没 试过不行，比如X.X.X.100:88只能访问到路由的管理界面，除非UPNP，否则只用DMZ的话通过X.X.X.100这样的访问方式不能访问到下属LAN口中指定的IP设备
引用:原帖由 百年癫狂 于
22:14 发表
试过不行，比如X.X.X.100:88只能访问到路由的管理界面，除非UPNP，否则只用DMZ的话通过X.X.X.100这样的访问方式不能访问到下属LAN口中指定的IP设备 假如DMZ后，确实访问192.168.0.100没有结果，那就是没办法了，监控录像或许有点特殊吧。
你确定是访问路由器2的WAN口的那个192.168.0.*地址了？
一般不建议用这样的方式。一般建议都弄入相同网段，或使用三层交换机去划分vlan管理。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
初级工程师
在理论上没有问题，你从一级路由telnet 一下80、554、443、、9020端口，看看都不通还是有个别不通。
引用:原帖由 qq58a3f485d481b 于
15:02 发表
在理论上没有问题，你从一级路由telnet 一下80、554、443、、9020端口，看看都不通还是有个别不通。 telnte除了路由远程管理的88端口有响应外其他端口都无法连接，DMZ或虚拟服务器配置都不行，做UPNP后倒是全部端口都通，估计还是由于廉价家用路由设备的问题吧，都是些淘汰的R406和硬改的285P ~ 记得在2年前做一个工程时手上刚好有个拿来玩的tomato系统路由，也是做的DMZ，直接可用了~ 过几天有空找个能改的路由刷个tomato出来做下试验。
引用:原帖由 天月来了 于
08:36 发表
假如DMZ后，确实访问192.168.0.100没有结果，那就是没办法了，监控录像或许有点特殊吧。
你确定是访问路由器2的WAN口的那个192.168.0.*地址了？
一般不建议用这样的方式。一般建议都弄入相同网段，或使用三层交换机去划分vl ... 真心感谢各位版主和前辈的热情帮助，这里的技术气氛就是不一样，作为一枚网络菜鸟在这里受益匪浅，感谢51cto~
构思计划应用的项目是一个中大型监控系统，覆盖了一个200米*300米左右的行政大院，包含58个IPC和3台NVR，月初已竣工并正常运行了~
只是后期有几栋办公楼提出要有接入主机预览/回放的功能，所以就想通过一些相对简单廉价的方式来解决。
因为每栋楼的网络性质都不一样，图中的路由器1是甲方原有网络设施，有些是办公专线IP，有些是普通外网，而且电脑、网络打印机等设备众多~ 为配合监控系统的接入把他们原有的网段、网络结构改变是不可能了，做DMZ或虚拟服务器的初衷一来是隐藏了所有设备的真实IP免得被人乱搞，二来是可以借助他们的外网便于日后远程管理维护。
临近验收，既然普通设备难以实现最初方案，现在干脆把路由的WAN和LAN对调过来，让他们访问NVR的真实IP吧，只是没有了外网接入无法实现远程管理了，这个先在这里学习多点网络知识，以后再去慢慢完善吧~
(770.31 KB)
本帖最后由 百年癫狂 于
04:35 编辑
引用:原帖由 百年癫狂 于
04:20 发表
真心感谢各位版主和前辈的热情帮助，这里的技术气氛就是不一样，作为一枚网络菜鸟在这里受益匪浅，感谢51cto~
构思计划应用的项目是一个中大型监控系统，覆盖了一个200米*300米左右的行政大院，包含58个IPC和3台NVR，月初已竣工 ... 这样看你实在不想多花钱，既然你都把路由的WAN和LAN对调过来用了，那干脆每个路由器上倒着并个小有线路由器吧，这样就可以两边、外网等都可以访问了
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
初级工程师
引用:原帖由 百年癫狂 于
03:09 发表
telnte除了路由远程管理的88端口有响应外其他端口都无法连接，DMZ或虚拟服务器配置都不行，做UPNP后倒是全部端口都通，估计还是由于廉价家用路由设备的问题吧，都是些淘汰的R406和硬改的285P ~ 记得在2年前做一个工程时手上 ... 按说dmz是最基本的功能，这种级别的路由器都可以实现。你的端口映射里面有没有相冲突的规则，upnp有没有关闭
引用:原帖由 天月来了 于
07:56 发表
这样看你实在不想多花钱，既然你都把路由的WAN和LAN对调过来用了，那干脆每个路由器上倒着并个小有线路由器吧，这样就可以两边、外网等都可以访问了 ... 哈哈，不敢这样玩~接了后几栋楼的网络双向互通了，难保某楼某设备跟另外一栋的是相同IP的，可能引致一些不可预料的网络故障，到时候A楼打印B楼出纸就麻烦了（玩笑）~~~还是单向访问靠谱一点，反正外网远程维护只是打算方便自己而已，甲方没要求，真有外网访问需求的时候让他们另开宽带吧，顺带为ISP们创造点业绩^_^
引用:原帖由 qq58a3f485d481b 于
10:29 发表
按说dmz是最基本的功能，这种级别的路由器都可以实现。你的端口映射里面有没有相冲突的规则，upnp有没有关闭 感觉也是，这些基本功能按理来说普通设备都应该能实现的，因为是在办公室里面进行的试验，设备都是单一接入的，网络环境非常单纯，测试一项配置的时候其它upnp/防火墙规则等都是关闭的，应该没有什么其它东西会引起端口冲突~~~ 反正当前先解决好工程项目中的现实需求吧，这个在办公室里再去慢慢研究~ 我是网络菜鸟一枚，感谢在这里的发问得到你们各种的解决思路，获益不少查看:3449|回复：9
目前有一台F100防火墙，E0/0 接内网 ；E0/1 接外网，E0/2 接一台WEB服务器
目前配置：
E0/0& & trust& && && && &&&IP:192.168.8.1
E0/1& &untrust& && && &&&IP: 外网IP(x.x.x.230)& &
E0/2& & DMZ& && && && & IP: 192.168.9.1
一共有5个IP，目前用了230，现在想把连在E0/2 口上的服务器（192.168.9.2）地址用 x.x.x.228
在E0/1 口上做了如下配置： nat server protocol tcp global x.x.x.228 any inside 192.168.9.2 any.
然后外网地址死活不通啊，ping也ping不通228这个地址。
目前服务器网络正常，但是就是外网地址不通。。。
有木有人来哇 。。。
防火墙 默认是 permit
有木有人啊。。。
今天又试了下做个静态nat 还是不行啊
x.x.x.228 这个IP并没有配置在外网接口上面，当然ping不通了，
但是你的X.X.X.230是配置在对外网的接口上了的，你试试
nat server protocol tcp global x.x.x.230 any inside 192.168.9.2 any
应该能用x.x.x.230访问你的web服务器吧，当然你也可以把X.X.X.228配置在外网的子接口下面试试
高级工程师
引用:原帖由 lvyang0519 于
13:51 发表
目前有一台F100防火墙，E0/0 接内网 ；E0/1 接外网，E0/2 接一台WEB服务器
目前配置：
E0/0& & trust& && && && &&&IP:192.168.8.1
E0/1& &untrust& && && &&&IP: 外网IP(x.x.x.230)& &
E0/2& & DMZ& && && && & IP: 192 ... 将E1/0端口下的命令修改成 nat server protocol tcp global x.x.x.230 inside 192.168.9.2
然后再加上域控制命令
firewall packet-filter default permit interzone DMZ untrust direction inbound
firewall packet-filter default permit interzone DMZ untrust direction outbound
少思虑以养心气，寡色欲以养肾气，
常运动以养骨气，戒嗔怒以养肝气，
薄滋味以养胃气，省言语以养神气，
多读书以养胆气，顺时令以养元气
妹的 在dmz端口上应用 rule 0 permit source 0.0.0.0 0 就通了
引用:原帖由 wangpeng1980520 于
10:16 发表
将E1/0端口下的命令修改成 nat server protocol tcp global x.x.x.230 inside 192.168.9.2
然后再加上域控制命令
firewall packet-filter default permit interzone DMZ untrust direction inbound
firewall pack ... 我那个做不了域间策略。。。下面不能配，只有这些命令。
(25.41 KB)
高级工程师
引用:原帖由 lvyang0519 于
10:30 发表
我那个做不了域间策略。。。下面不能配，只有这些命令。
241328 使用WEB配置方式进入防火墙，试试
少思虑以养心气，寡色欲以养肾气，
常运动以养骨气，戒嗔怒以养肝气，
薄滋味以养胃气，省言语以养神气，
多读书以养胆气，顺时令以养元气
:lol 现在H3C的墙，都是主推web的。建议以后都用web
额。。。。还好现在搞定了，现在把全部配置发上来，给以后的兄弟做个借鉴。或者看看那里有什么问题哈。
我这儿还有个问题，不小心启用了PKI，然后系统自己建了个默认域s***defdom，我死活删不掉，总说这个域正在使用中，这个怎么搞啊。。。:Q
sysname H3C
l2tp enable
l2tpmoreexam enable
ike local-name sunshine
firewall packet-filter enable
firewall packet-filter default permit
undo firewall statistic system enable
qos carl 1 source-ip-address range 192.168.8.3 to 192.168.8.255
qos carl 2 destination-ip-address range 192.168.8.3 to 192.168.8.255
pki domain s***defdom
radius scheme system
server-type extended
domain system
ip pool 1 192.168.7.2 192.168.7.254
local-user admin
password simple xxxxxxxxx
service-type telnet
service-type ppp
local-user xxxxxx
password simple xxxxxx
service-type ppp
ike dpd defaultdpd
aspf-policy 1
detect http
detect smtp
detect tcp
object address *** 192.168.7.0 255.255.255.0
object address web x.x.x.226 255.255.255.248
object address web01 x.x.x.227 255.255.255.248
object address web02 x.x.x.228 255.255.255.248
object address web03 x.x.x.229 255.255.255.248
object address-group ***01
& &add&&***
acl number 2000
rule 0 permit source 192.168.10.0 0.0.0.255
rule 1 deny
acl number 3000
rule 0 permit ip source 192.168.7.0 0.0.0.255
rule 1 permit ip source 192.168.8.0 0.0.0.255
rule 2 permit ip source 192.168.9.0 0.0.0.255
rule 4 permit ip source 192.168.10.0 0.0.0.255
rule 5 permit ip source 192.168.20.0 0.0.0.255
rule 6 deny ip
acl number 3001
rule 0 deny ip destination 192.168.10.0 0.0.0.255
rule 1 permit ip destination 192.168.20.8 0
rule 2 deny ip destination 192.168.20.0 0.0.0.255
rule 3 deny ip destination 192.168.30.0 0.0.0.255
rule 4 permit ip
interface Virtual-Template0
ppp authentication-mode pap
ppp ipcp remote-address forced
ip address 192.168.7.1 255.255.255.0
remote address pool 1
interface Aux0
async mode flow
interface Ethernet0/0
description WCN_INTERFACE_LAN
ip address 192.168.8.1 255.255.255.0
qos car inbound carl 1 cir 20000 cbs 20000 ebs 20000 green pass red discard
qos car outbound carl 2 cir 128000 cbs 128000 ebs 128000 green pass red discard
interface Ethernet0/1
description WCN_INTERFACE_WAN
ip address x.x.x.230 255.255.255.248
nat outbound 3000
nat server protocol icmp global x.x.x.228 inside 192.168.9.2
nat server protocol tcp global x.x.x.228 smtp inside 192.168.9.2 smtp
nat server protocol tcp global x.x.x.228 www inside 192.168.9.2 www
interface Ethernet0/2
ip address 192.168.9.1 255.255.255.0
firewall packet-filter 3001 inbound
firewall aspf 1 inbound
firewall aspf 1 outbound
interface Ethernet0/3
interface Encrypt2/0
interface NULL0
firewall zone local
set priority 100
firewall zone trust
add interface Ethernet0/0
add interface Virtual-Template0
set priority 85
firewall zone untrust
add interface Ethernet0/1
set priority 5
firewall zone DMZ
add interface Ethernet0/2
set priority 50
firewall interzone local trust
firewall interzone local untrust
firewall interzone local DMZ
firewall interzone trust untrust
firewall interzone trust DMZ
firewall interzone DMZ untrust
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 0
ip route-static 0.0.0.0 0.0.0.0 x.x.x.225 preference 60
ip route-static 192.168.10.0 255.255.255.0 192.168.8.2 preference 60
ip route-static 192.168.20.0 255.255.255.0 192.168.8.2 preference 60
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend tracert
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
user-interface con 0
user-interface aux 0
user-interface vty 0 4
acl 2000 inbound
authentication-mode scheme
user privilege level 3