外网端口加密

A. 外网设置端口映射怎么做

外网设置端口映射方法：

1、打开浏览器，在地址栏输入路由器地址192.168.1.1，如果有做更改请输入更改后的地址，输入账号密码登陆路由器；

(1)外网端口加密扩展阅读

分类

内网的一台电脑要上因特网对外开放服务或接收数据，都需要端口映射。

端口映射分为动态和静态。动态端口映射：内网中的一台电脑要访问网站，会向NAT网关发送数据包，包头中包括对方网站IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

然后再把数据发给网站，网站收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实也就是NAT网关的工作方式。

静态端口映射:：就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一台电脑。

B. SSH远程操作与端口转发的原理

SSH不仅可以用于远程主机登录，还可以直接在远程主机上执行操作。

上一节的操作，就是一个例子：

单引号中间的部分，表示在远程主机上执行的操作；后面的输入重定向，表示数据通过SSH传向远程主机。

这就是说，SSH可以在用户和远程主机之间，建立命令和数据的传输通道，因此很多事情都可以通过SSH来完成。

下面看几个例子。
【例1】
将 HOME/src/目录。

【例2】
将远程主机$HOME/src/目录下面的所有文件，复制到用户的当前目录。

【例3】
查看远程主机是否运行进程httpd。

既然SSH可以传送数据，那么我们可以让那些不加密的网络连接，全部改走SSH连接，从而提高安全性。

假定我们要让8080端口的数据，都通过SSH传向远程主机，命令就这样写：

SSH会建立一个socket，去监听本地的8080端口。一旦有数据传向那个端口，就自动把它转移到SSH连接上面，发往远程主机。可以想象，如果8080端口原来是一个不加密端口，现在将变成一个加密端口。

有时，绑定本地端口还不够，还必须指定数据传送的目标主机，从而形成点对点的"端口转发"。为了区别后文的"远程端口转发"，我们把这种情况称为"本地端口转发"（Local forwarding）。

假定host1是本地主机，host2是远程主机。由于种种原因，这两台主机之间无法连通。但是，另外还有一台host3，可以同时连通前面两台主机。因此，很自然的想法就是，通过host3，将host1连上host2。
我们在host1执行下面的命令：

命令中的L参数一共接受三个值，分别是"本地端口:目标主机:目标主机端口"，它们之间用冒号分隔。这条命令的意思，就是指定SSH绑定本地端口2121，然后指定host3将所有的数据，转发到目标主机host2的21端口（假定host2运行FTP，默认端口为21）。

这样一来，我们只要连接host1的2121端口，就等于连上了host2的21端口。

"本地端口转发"使得host1和host3之间仿佛形成一个数据传输的秘密隧道，因此又被称为"SSH隧道"。

下面是一个比较有趣的例子。

它表示将本机的5900端口绑定host3的5900端口（这里的localhost指的是host3，因为目标主机是相对host3而言的）。
另一个例子是通过host3的端口转发，ssh登录host2。

这时，只要ssh登录本机的9001端口，就相当于登录host2了。

上面的-p参数表示指定登录端口。

既然"本地端口转发"是指绑定本地端口的转发,那么"远程端口转发"(remote forwarding)当然是指绑定远程端口的转发。还是接着看上面那个例子，host1与host2之间无法连通，必须借助host3转发。但是，特殊情况出现了，host3是一台内网机器，它可以连接外网的host1，但是反过来就不行，外网的host1连不上内网的host3。这时，"本地端口转发"就不能用了，怎么办？

解决办法是，既然host3可以连host1，那么就从host3上建立与host1的SSH连接，然后在host1上使用这条连接就可以了。

我们在host3执行下面的命令：

R参数也是接受三个值，分别是"远程主机端口:目标主机:目标主机端口"。这条命令的意思，就是让host1监听它自己的2121端口，然后将所有数据经由host3，转发到host2的21端口。由于对于host3来说，host1是远程主机，所以这种情况就被称为"远程端口绑定"。

绑定之后，我们在host1就可以连接host2了：

这里必须指出，"远程端口转发"的前提条件是，host1和host3两台主机都有sshD和ssh客户端。

SSH还有一些别的参数，也值得介绍。

N参数，表示只连接远程主机，不打开远程shell；T参数，表示不为这个连接分配TTY。这个两个参数可以放在一起用，代表这个SSH连接只用来传数据，不执行远程操作。

f参数，表示SSH连接成功后，转入后台运行。这样一来，你就可以在不中断SSH连接的情况下，在本地shell中执行其他操作。

要关闭这个后台连接，就只有用kill命令去杀掉进程。

C. 群晖MailPlus套件家庭路由器环境下详细配置

准备工作：

1. 动态解析服务的注册和配置

检测你的路由器WAN端是否为固定IP，登录路由器查看，也可网络“我的IP地址”，两者如果一致则说明具有固定的IP，当然了这个IP是通过PPPOE拨号后获取的，也可以和运营商购买，就不多说了。但是在断电、重启路由器情况下IP会重新分配，在这种情况下我们就用到了动态IP解析，也就是DDNS，

原理： 有这样一个服务商（如花生壳）他的服务内置到了路由器或者群晖，他能自动获取当前WAN的公网IP，然后把这个IP发送到他的DNS服务器，使得花生壳提供的一个二级域名与你路由器WAN口公网IP对应，而这个对应的过程就称为解析，这样的话花生壳提供的这个二级域名就可以一直和你的路由器公网IP对应上了

说明：这里建议尽量使用内置的DNS设定，需要安装的服务毕竟占用资源，群晖提供了DDNS服务，可在

>  控制面板-外部访问下开启**

我使用的TP路由器自带的tpddns，花生壳，大同小异，你获得了XXX.synology.me（群晖）,

xxxxq57u0.qicp.vip(花生壳)，选择哪家这里面比较的不就是谁免费、谁稳定，大家自己感受。

2.  域名的注册：

对于邮件系统的搭建，这个非必要项目，我是在阿里云注册的“zlxxx.com”，使用DDNS二级域名也行，但必须要可以设置解析，不然不能用于邮件系统。这里不细说了！

第一：服务端软件部署：

1、安装群晖套件MailPlus server、MailPlus

使用管理员账号**电脑登录群晖，点击“套件中心”，在搜索栏输入“mail”，可以找到两个套件：MailPlus

server、MailPlus，分别安装它们；

2、首次启动MailPlus

server我们选择”创建新邮件系统”这里我就拿我注册的域名为例，域名毫无疑问，填写顶级域名，下面的主机名：可以随自己的意愿，大多数人，mail.zlxxx.com,而我为了简单，设定为i.zlxxx.com，实际上不管是啥在解析后：

i.zlxxx.com等于xxxxq57u0.qicp.vip(花生壳)还等于路由器外网IP123.23.12.45（例）

访问你的主机名会直接跳转路由器设置页面，如下所示：

3、初始化和进入邮件服务主页 ，如图：

4、接下来按照列表顺序进行设定

第一步，你的邮件地址是什么？这肯定是第一个要问的，如图，点击“域”

双击“zlxxx.com”，在弹出界面可以看出，默认按照用户的名来设定的邮箱，如果你不想这样，可以直接编辑这个邮箱号为你想要的。

5、关闭SMTP验证

很多邮件客户端都不具备这个功能，例如foxmail，小米手机客户端支持，意义不大，建议关闭：

6、安全反垃圾邮件

可开可不开，自己看，开了占用资源

7、设定你群晖下哪些用户能使用邮件服务

如果方才域不能编辑你的邮箱号，可以先把这里开启激活；

至此，服务端的我认为几个重要的设置就完成了，其他暂时默认即可，大家可以在能正常使用后自己琢磨。**MailPlus客户端暂时无需设置，这里要说明一点，有的人开启了普通用户的邮箱激活，没有给自己的管理员激活，所以打开了MailPlus网页说没有权限使用。。。**

8、开启用户对MailPlus使用权

>  一定记得在控制面板-用户账户-对应的ID下把软件使用权开启：

第二：路由器端口转发的配置：

内外有别，是两个世界，大家都做过连线题，这个功能作用就是把内外端口联系起来

有的路由器叫**端口转发**，有的路由器为**虚拟服务器**这两个实际上是一个意思，实际上就是3要素，外网端口、内网端口、服务器地址，名称可以随便写举个例子：我想通过外网IP访问群晖服务器

名称：DSM，外网端口：5000、内网端口：5000、服务器地址：  192.168.0.88（群晖服务器固定IP）（192.168.0.1是我的路由器）,如果没有占用的情况内外一般设置为一样的就行，如果被别的服务占用，你可以自己修改。如下图所示，把imap smtp pop3等端口加密、非加密端口一并做映射，我图中包含了群晖主服务的访问端口、邮件端口、WEBDAV远程访问群晖文件的映射，大家有用可以端部设置一下，

这里要重点提及一下外网链接+端口可以直接访问邮件，也就是网页版，我的地址是i.zlxxx.com:3000,如图

>  打开控制面板---应用程序门户---mailplus---把两个端口打开。

拓展说明：

这里拓展一下有的路由器有UPnP，大家也都能网络到他的意思，功能很多，但是我提一个功能，那就是端口转发，没错，我本人曾经跳过坑里，所以予以说明：

它可以将群晖服务器可配置的端口直接发送给路由器，不需要手工配置了，听起来很好，那么看截图怎么做：

>  1、先把路由器UPnP服务开启了，不然后面群晖检测不到

>  2、打开控制面板---外网访问---路由器配置---设置路由器

然后他说找到了兼容的型号和配置，直接应用就行了，接下来就是新增条目点击新增---内置的应用程序，

  哇塞，群晖服务器需要用到的端口都在这里，还怕自己弄不清？勾选之后直接应用，他就发送到路由器了。

弱点：UPnP规则下的端口转发有一个弊病，那就是当你的电脑接入了家里的网络，通过外网IP+5000端口根本不能访问群晖服务器，也就是i.zlxxx.com:5000,被拒绝访问，把手机wifi断开，听过浏览器再访问这个地址可以通了，，，所以安静的用端口转发、虚拟服务器专用功能吧。通过虚拟服务器配置的情况下，你的链接不管怎么样都能访问到群晖。这里不谈更高级的用法。

第三：解析配置：

服务器设置好了，路由器也设置好了，接下来我们把很重要的一步解析完成

解读，我们知道常规服务器解析，首先要把IP地址解析到域名，而我们的IP由于是动态的，已经由花生壳、群晖等服务商帮你做了解析，也就是前面提到的xxxxq57u0.qicp.vip

如果你没有自己购买的域名，这一步你要去花生壳，只需要一个MX记录就能让你的xxxxq57u0.qicp.vip具备邮箱解析能力，我是自己买了新的域名，所以，我要增加一个CNAME记录，把我的域名指向花生壳这个域名，即i.zlxxx.com= xxxxq57u0.qicp.vip

既然划等号了，我在i.zlxxx.com基础上设置邮件解析MX也是一样的。

重点说明： 大家可能见过很规范的邮件解析有imap解析 smtp解析

pop3解析，实际上对于大型邮件服务商，收发等动作指向了多个服务器，也就是并不是一个IP，而群晖就只是一个外网IP，通过端口的不同指向了不同的服务，也就是说输入i.zlxxx.com:3000，就可以直接跳转邮件，i.zlxxx.com:5000就可以跳转DSM，同样i.zlxxx.com:993就可以指向邮件的加密收信服务器，端口不一样就行，从而得出如图配置：**

接下来我们试试吧：

加粗样式输入izlxxx.com:3000  回车

  群晖用户Alley敬上

D. 路由器怎么加密设置

如今，无线路由器是不少宽带用户家庭的必备设备，无线宽带为用户畅享数字生活带来了不少便利。不过，无线网络由于通过无线信号传送，目前有很多网友在使用无线路由器时，出现了无线宽带被“蹭网”的问题。被“蹭网”不仅网速会变慢，而且聊天记录、个人照片、账户密码等信息也会有泄露的危险。下面我就为大家介绍几个为无线路由器加密的技巧，超管用。

路由器怎么加密设置

1.关闭SSID广播

SSID是无线网络的名称，在对无线网络进行设置时，用户一般都会给自己的家用无线网络起一个好记的SSID。一般无线路由器的SSID广播功能都是打开的，虽然方便了用户登录网络，但是“蹭网”的人也会很容易发现它，因此建议用户关闭SSID广播功能。用户可登录路由器的管理界面，把“启用SSID广播”功能上的“对号”去掉，然后点应用即可。

这样，如果有人再想蹭网，就搜索不到你的无线信号了。

有用户可能会问，搜不到无线信号，自己需要连接时该怎么办呢?

用户可在电脑的控制面板中选择“网络和共享中心信息”，找到“设置新的连接或网络”，点击其中的“手动连接无线网络”。然后，再输入无线网络的SSID、密码，并在“即使网络未进行广播也连接”的复选框中打钩，点击下一步系统就会自动扫描相应网络信号接入网络了。

2.禁用WEP方式加密

很多人在使用路由器时，密码设定上选择了WEP密码方式，这种密码保护方式技术上过于简单，“蹭网”者很容易通过工具轻松破解，在信号强度高时，1分钟左右就可以破解密码。

建议用户使用无线路由器中的WPA2方式加密，安全性会更高一些。方法是：登录路由器的管理界面，点击高级设置-无线设置-无线安全(或者无线加密)-安全模式，选择其中的WPA2，输入无线加密密码，点击确定即可。

3.开启MAC过滤

现在的智能手机和平板电脑中都有无线网卡，每个网卡都有一个唯一的MAC地址，类似我们的身份证号码。用户可以把自己家里无线设备的MAC地址和无线路由器进行绑定，仅允许指定的无线网卡访问自己的无线网络，这样就为自己的无线网络加了一种进入限制。

在路由器设置界面，进入高级设置-无线设置-无线网卡访问列表(MAC地址过滤)，点击添加，设备会自动显示连接到路由器的MAC地址，选中自己的MAC地址，再点击应用，你的网络就记住你的电子设备了。

4.降低路由器功率

无线路由器的功率越大，网络信号的强度就越强，覆盖的范围就越广，相应地被“蹭网”的.概率就越大。如果适当减小无线信号的发射功率，别人接收不到信号，或者信号很弱，也就无法“蹭网”了。

用户在路由器的配置界面中选择“高级”选项，进入后点选和修改路由器的发射功率即可

以上就是我给大家分享的无线路由器加密小技巧，望大家喜欢哦。

推荐

如果你想在自己电脑上放置一个网站、邮箱系统，而又想别人在外网就可以访问你的服务器，那么出了在电脑上安装服务器软件，还要在路由器上面设置映射。

1、首先打开路由器(这里以TP为例，其他类似)控制界面。

2、进入转发规则栏目，选择虚拟服务。就会出现下面界面：

各栏目对应信息

服务端口号： 就是为你创建的服务器开放端口号，譬如网站服务器一般都是80端口，ftp服务器是21，如果是办公软件系统，就需要对方给我们提供端口号了。也可以输入一个端口段，如：6001-6008。

IP地址： 局域网中作为服务器的计算机的IP地址，也就是你的内网ip，一般都为192.168.1.* 。

协议： 服务器所使用的协议，一般选择全部就不会错了。

填写完成后，选择生效，然后保存，重启路由器即可。

如果是给办公软件开放外网访问端口，那么就要点击进入特殊应用程序栏目，设置开放这些软件系统的映射端口，最后生效，保存即可。

其中各栏目对应信息

触发端口： 用于触发应用程序的端口号，一般填入软件开发商提供的端口号。

触发协议： 用于触发应用程序的协议类型，选择全部就不会错了。

开放端口： 当触发端口被探知后，在该端口上通向内网的数据包将被允许穿过防火墙，以使相应的特殊应用程序能够在NAT路由下正常工作，同样添加软件开发商提供的端口号。

注意事项

不同品牌的路由稍有差别，不过栏目的设置基本就这几种，可以参考一下各自的操作说明书;

如果连接的外链ip是动态ip，那么访问网站的话，还需要安装一个动态ip服务软件，才能实现外网的访问。

E. 如何在路由器上限制视频网站的端口，禁止看视频。

首先，登陆路由器，然后可以找到“安全设置”，然后再找到“IP地址过滤”，然后这里可以设置局域网IP地址、禁止访问的端口和协议等。
其中，局域网IP地址就是公司局域网员工的电脑IP；广域网IP地址就是禁止局域网电脑访问的外网IP地址（比如股票软件、网络游戏的服务器IP地址），而端口就是禁止局域网电脑访问外网的端口（比如一些股票软件的端口是8601，那只需要在端口这里添加8601即可阻止电脑通过8601端口链接股票软件的服务器，从而禁止了股票软件的使用）；而协议这里，通常情况下分为TCP协议和UDP协议，也可以选择ALL，则代表封堵了所有的协议，你可以根据自己的需要进行选择，如果不太了解一些网络应用的通讯协议，则可以选择ALL，这样就可以完全禁止TCP协议和禁止UDP协议的传输。
其次，如果觉得通过路由器禁止IP访问、通过路由器禁止端口的设置较为复杂，则你也可以通过一些网络管理软件来实现禁止局域网电脑访问公网IP地址、屏蔽局域网电脑访问公网端口。例如，有一款“聚生网管”软件（下载地址：http://www.grabsun.com/soft.html），通过在局域网一台电脑安装之后，就可以实现控制局域网所有电脑的上网行为，有效禁止局域网电脑P2P下载、禁止局域网炒股、限制局域网电脑玩游戏、禁止电脑网购、限制局域网网速。
同时，针对一些网管员想实现关闭端口、禁止访问外网IP地址的情况，聚生网管系统集成了ACL（访问控制列表），实现了一种更为简单的实现方式。
聚生网管的ACL访问控制和路由器极为相似，源IP地址这里你既可以选择单个或IP地址段，也可以选择“任意”，这样就禁止局域网所有电脑了；目标IP地址同样也可以选择单个、IP段或任意，协议类型这里可以选择TCP、UDP或全部，传输端口这里可以添加单个端口也可以添加端口段。
同时，聚生网管和路由器不同的是：聚生网管集成了局域网报文截获和识别功能，你可以通过聚生网管随时查询各种网络应用，如网络游戏、炒股软件、P2P软件乃至聊天软件的通讯端口、服务器IP地址和协议，甚至包括DNS解析等情况。具体方法如下：启动聚生网管系统后，会扫描到局域网所有电脑的IP地址，你可以在任意一个电脑上右键点击，然后选择“查看主机详细流量信息”，之后你就可以看到聚生网管会截获这个电脑所有通讯报文，然后你就可以在这个电脑上登陆股票软件、网络游戏、聊天软件（最好把其他无关网络应用关闭，以保证捕获的报文均为此网络应用的报文，防止误拦截。