DNAT 目标网络地址转换(Destination Network Address Translation) 修改正在传输的数据包的目标地址 进行端口映射通常需要使用网络地址转换(NAT)规则或端口转发来实现。New-NetNat 进行配置和管理;Add-NetNatStaticMapping 命令的常用参数和功能分类表;Get-NetNatStaticMapping 命令
DNAT 代表 目标网络地址转换(Destination Network Address Translation)。
它是一种用于计算机网络的技术,用于修改正在传输的数据包的目标地址,通常由路由器或防火墙执行。DNAT 通常用于将来自外部网络的流量重定向到特定的内部 IP 地址,特别是在防火墙或路由器后面设置 web 服务器、邮件服务器或 FTP 服务器等服务时。
DNAT 的关键点:
- 目的:将传入的流量(目标)重定向到私有网络中的内部服务器。
- 常见用途:通常用于端口转发,其中将公共 IP 地址映射到网络中服务器或设备的私有 IP 地址。
- 典型应用场景:用户访问公共 IP 上的 web 服务时,可能会被引导到内部服务器,例如具有私有 IP 的 web 服务器。
示例场景:
- 一家公司有一个 web 服务器,内部 IP 地址是 192.168.1.100,但外部世界通过公共 IP(例如 203.0.113.5)访问该服务器。
- 防火墙或路由器执行 DNAT,将传入请求的目标地址从 203.0.113.5 转换为 192.168.1.100,从而允许服务器响应请求。
这种技术在负载均衡或提供外部访问内部资源等场景中非常有用。
端口映射通常与目的网络地址转换(DNAT)概念相关联。在网络中,DNAT 是一种技术,用于将传入的数据包的目的 IP 地址和/或端口号修改为内部网络中另一台计算机的 IP 地址和端口号。这样可以实现将外部流量导向内部特定计算机或服务的功能。因此,端口映射通常涉及 DNAT 技术,用于在网络中重定向特定端口的流量。
目标网络地址转换(DNAT,Destination Network Address Translation) 是一种常见的网络地址转换技术,它在网络层上工作,主要用于修改数据包的目标地址,以便将外部请求转发到内部网络中的不同设备。DNAT 通常用于解决内部网络与外部网络之间的通信问题,尤其是在防火墙、路由器或网关中使用,它在公网与私网之间进行地址转换。
DNAT 的底层原理:
-
基本概念: DNAT 是 NAT(网络地址转换)的一种形式,它专注于修改数据包的目标地址,即改变进入网络的请求的目标 IP 地址。在 DNAT 中,原始数据包的目标 IP 地址被修改为另一个地址,从而将请求转发到另一个机器。
-
工作流程: 当外部网络(通常是互联网)发送请求到内网服务器时,数据包会首先到达边界路由器或防火墙设备。这个设备通过 DNAT 技术将数据包的目标 IP 地址从公网上的 IP 地址修改为私网的 IP 地址,并将请求转发到正确的内网主机。
例如,假设:
- 公网 IP 地址
203.0.113.1被配置为防火墙上的入口。 - 防火墙会将访问
203.0.113.1:80的请求转发到内网服务器192.168.1.10:80上。
- 公网 IP 地址
-
转换过程:
- 原始数据包:外部客户端发送请求,目标地址是防火墙的公网 IP(例如
203.0.113.1:80)。 - NAT 设备(如路由器、防火墙):设备接收到数据包后,查看目标端口并进行匹配,查找相应的转换规则。例如,防火墙可能有一条规则,指示将
203.0.113.1:80转发到内网服务器192.168.1.10:80。 - 目标地址修改:设备修改目标 IP 地址,将其从公网地址
203.0.113.1改为私网地址192.168.1.10,并保持端口号不变(如果有端口号映射)。 - 转发数据包:经过修改后的数据包被转发到目标地址,即
192.168.1.10上,目标主机接收到该请求并做出响应。
- 原始数据包:外部客户端发送请求,目标地址是防火墙的公网 IP(例如
-
DNAT 与 SNAT 的区别:
- DNAT(目标网络地址转换):主要用于修改数据包的目标地址,通常用于将外部请求转发到内部网络中的服务器或服务。DNAT 主要解决外部到内部的连接问题。
- SNAT(源网络地址转换):与 DNAT 相对,SNAT 主要用于修改数据包的源地址,通常用于内部网络设备发出的请求访问外部网络。SNAT 主要解决内部到外部的连接问题。
-
常见应用场景:
- Web 服务器负载均衡:多个内网 Web 服务器可能共享一个公网 IP 地址,外部用户访问某个公网 IP 时,DNAT 可以将请求根据负载均衡算法转发到不同的服务器。
- 端口转发:某些服务(如 Web 服务、SSH 等)可能位于内部网络中,通过 DNAT 可以将外部的特定端口(如 80 或 443)转发到内部网络中的特定服务器。
- 远程访问:为外部用户提供对内部网络特定服务的访问,例如通过 DNAT 将外部访问请求转发到内网中的远程桌面服务(RDP)或数据库服务。
-
配置示例: 在 Linux 系统上,使用
iptables配置 DNAT 时,可以使用如下命令:bashCopy Codeiptables -t nat -A PREROUTING -d 203.0.113.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80这条命令的意思是:当目标地址是
203.0.113.1且目标端口是80的 TCP 请求到达时,将目标地址转换为192.168.1.10且目标端口保持为80,并将数据包转发到该内部服务器。
DNAT 的优势与挑战:
优势:
- 简化网络架构:通过 DNAT,多个内部服务器可以共享同一个公网 IP 地址,减少了公网 IP 的消耗。
- 安全性:内部网络的私有 IP 地址对外部用户不可见,增加了网络的安全性。
- 高可用性:通过配置负载均衡等规则,DNAT 可以帮助实现高可用性和冗余。
挑战:
- 状态跟踪:由于 DNAT 处理的是目标地址,因此设备需要准确地跟踪每个连接的状态,确保请求的正确转发。
- 性能:对于高流量环境,NAT 设备可能成为瓶颈,影响整体网络性能。
- 端口限制:某些应用程序可能需要使用特定的端口,DNAT 可能需要额外的配置来处理端口映射。
DNAT 是解决内外网通信问题的有效技术,通过修改数据包的目标地址,将外部流量安全、准确地转发到内部网络中的目标主机上。
netsh interface portproxy 是一个用于配置 Windows 系统端口代理的命令行工具。 PowerShell 提供了等效的命令来管理端口代理。以下是 netsh interface portproxy 命令和对应的 PowerShell 命令的等效表格:
| netsh interface portproxy 命令 | PowerShell 等效命令 |
|---|---|
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=80 connectaddress=192.168.1.100 |
New-NetIPAddress -IPAddress 0.0.0.0 -Port 8080 -ProxyAddress 192.168.1.100 -ProxyPort 80 |
netsh interface portproxy delete v4tov4 listenport=8080 listenaddress=0.0.0.0 |
Remove-NetIPAddress -IPAddress 0.0.0.0 -Port 8080 |
netsh interface portproxy show all |
`Get-NetIPAddress |
netsh interface portproxy reset |
Remove-NetIPAddress |
netsh interface portproxy add v6tov4 listenport=8080 listenaddress=:: connectport=80 connectaddress=192.168.1.100 |
New-NetIPAddress -IPAddress :: -Port 8080 -ProxyAddress 192.168.1.100 -ProxyPort 80 -AddressFamily IPv6 |
netsh interface portproxy add v4tov6 listenport=8080 listenaddress=0.0.0.0 connectport=80 connectaddress=:: |
New-NetIPAddress -IPAddress 0.0.0.0 -Port 8080 -ProxyAddress :: -ProxyPort 80 -AddressFamily IPv6 |
netsh interface portproxy show v4tov4 |
Get-NetIPAddress -AddressFamily IPv4 |
netsh interface portproxy show v6tov4 |
Get-NetIPAddress -AddressFamily IPv6 |
netsh interface portproxy show v4tov6 |
Get-NetIPAddress -AddressFamily IPv6 |
netsh interface portproxy delete v6tov4 listenport=8080 listenaddress=:: |
Remove-NetIPAddress -IPAddress :: -Port 8080 -AddressFamily IPv6 |
简要说明:
- 添加端口代理:通过
New-NetIPAddresscmdlet 来设置端口代理,使用-ProxyAddress和-ProxyPort来指定代理目标地址和端口。可以使用-AddressFamily来指定 IPv4 或 IPv6。 - 删除端口代理:使用
Remove-NetIPAddress来删除指定的端口代理。 - 查看端口代理:使用
Get-NetIPAddress来列出所有网络接口的 IP 地址,结合Where-Object进行过滤,查找特定的端口代理。 - 重置端口代理:使用
Remove-NetIPAddress来移除所有配置的端口代理。
PowerShell 中没有与 netsh interface portproxy 完全等价的单一命令,因此需要结合多条命令和过滤器来实现端口代理的管理。
在Windows操作系统上进行端口映射通常需要使用网络地址转换(NAT)规则或端口转发来实现。下面是使用netsh命令进行端口映射的示例:
使用 netsh 命令进行端口映射
- 添加端口映射规则:
netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destportlistenaddress: 本地地址,通常为0.0.0.0(所有接口)listenport: 本地端口,你想要映射的端口connectaddress: 目标地址,映射到的目标服务器地址connectport: 目标端口,映射到的目标服务器端口
- 查看已添加的端口映射规则:
netsh interface portproxy show all- 删除特定端口映射规则:
netsh interface portproxy delete v4tov4 listenaddress=localaddress listenport=localport注意:在运行这些命令之前,请确保以管理员权限打开PowerShell或命令提示符。
示例
假设你想将本地端口80映射到远程服务器的端口8080,示例如下:
netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=80 connectaddress=destaddress connectport=8080这样就会将本地计算机上的所有流量发送到本地端口80,并将其转发到远程服务器的端口8080上。
通过使用netsh命令,你可以在Windows上设置简单的端口映射规则。
通过 PowerShell 的其他相关命令和参数来进一步对 New-NetNat 进行配置和管理。以下是一些 New-NetNat 的参数功能分类表:
| 功能类别 | 参数/选项 | 功能描述 |
|---|---|---|
| 创建 NAT 实例 | -Name |
设置 NAT 实例的名称。 |
| 配置内外部网络 | -InternalIPInterfaceAddressPrefix |
设置 NAT 规则适用的内部网络 IP 地址范围。例如:192.168.1.0/24。 |
-ExternalIPAddress |
设置 NAT 规则适用的外部 IP 地址。通常是公共 IP 地址。 | |
| NAT 类型设置 | -NATType |
配置 NAT 类型,支持的选项包括 Static(静态 NAT)和 Dynamic(动态 NAT)。 |
| 启用或禁用 NAT | -Enabled |
启用或禁用 NAT 实例。值为 True 或 False。 |
| 配置网络接口 | -InternalInterface |
指定内部网络接口。如果你有多个网络接口,使用此参数来选择一个接口。 |
-ExternalInterface |
指定外部网络接口,用于与互联网或其他网络连接。 | |
| 设置端口转发 | -StaticMapping |
创建静态映射,用于指定通过外部 IP 地址进行端口转发。 |
| 指定网络类型 | -IPv4Address |
为 IPv4 配置 IP 地址范围。 |
-IPv6Address |
为 IPv6 配置 IP 地址范围。 | |
| 验证和调试功能 | -PassThru |
返回命令的结果,可以用于后续验证或调试。 |
| 描述和备注 | -Description |
为 NAT 实例添加描述,以便管理员识别。 |
| 高级配置 | -InboundConnections |
配置允许或拒绝入站连接。此参数可控制入站流量的处理方式。 |
示例:
-
创建一个新的 NAT 实例并启用:
powershellCopy CodeNew-NetNat -Name "MyNat" -InternalIPInterfaceAddressPrefix "192.168.1.0/24" -ExternalIPAddress "203.0.113.5" -Enabled $true -
创建静态端口转发规则:
powershellCopy CodeNew-NetNat -Name "MyNat" -InternalIPInterfaceAddressPrefix "192.168.1.0/24" -ExternalIPAddress "203.0.113.5" -StaticMapping "80:80,443:443"
通过这些参数,您可以灵活地配置和管理网络的地址转换策略,从而优化和控制流量的路由。
Add-NetNatStaticMapping 是 PowerShell 中用于在现有的 NAT 实例中添加静态端口映射的命令。它并没有子命令,但可以通过各种参数来配置静态端口映射规则。下面是 Add-NetNatStaticMapping 命令的常用参数和功能分类表:
| 功能类别 | 参数/选项 | 功能描述 |
|---|---|---|
| 基础配置 | -NatName |
指定已有的 NAT 实例名称。 |
-InternalIPAddress |
内部网络的 IP 地址。此地址将用于端口映射的目标。 | |
-InternalPort |
内部网络上目标主机的端口。 | |
| 外部网络配置 | -ExternalIPAddress |
外部网络的 IP 地址。该地址是映射的公共地址。 |
-ExternalPort |
外部端口,通过此端口访问内部端口。 | |
| 协议配置 | -Protocol |
指定协议类型。支持的选项有 TCP 和 UDP。 |
| 映射类型配置 | -TranslationType |
映射类型,支持 Dynamic(动态映射)或 Static(静态映射)。 |
| 网络接口配置 | -InterfaceIndex |
指定网络接口的索引。可用于指定使用的网络接口。 |
| 描述信息 | -Description |
给静态端口映射添加描述信息。 |
| 启用或禁用映射 | -Enabled |
控制该静态映射是否启用。$true 表示启用,$false 表示禁用。 |
| 备用配置 | -PassThru |
返回命令的输出对象,以便进行进一步的操作或验证。 |
示例:
-
在现有的 NAT 实例中添加静态映射:
powershellCopy CodeAdd-NetNatStaticMapping -NatName "MyNat" -InternalIPAddress "192.168.1.10" -InternalPort 8080 -ExternalIPAddress "203.0.113.5" -ExternalPort 8080 -Protocol TCP -Description "Web Server" -
添加多个静态映射并启用:
powershellCopy CodeAdd-NetNatStaticMapping -NatName "MyNat" -InternalIPAddress "192.168.1.10" -InternalPort 8080 -ExternalIPAddress "203.0.113.5" -ExternalPort 8080 -Protocol TCP -Enabled $true Add-NetNatStaticMapping -NatName "MyNat" -InternalIPAddress "192.168.1.10" -InternalPort 443 -ExternalIPAddress "203.0.113.5" -ExternalPort 443 -Protocol TCP -Enabled $true
通过这些参数,Add-NetNatStaticMapping 使你能够将外部端口请求路由到内部网络的特定 IP 地址和端口上。这对于配置网络中的端口转发和静态路由非常有用。
Get-NetNatStaticMapping 是 PowerShell 中用于获取当前 NAT 实例中已配置的静态端口映射规则的命令。它没有子命令,但是可以通过多种参数来过滤、选择和查看 NAT 静态映射的详细信息。下面是 Get-NetNatStaticMapping 命令的常用参数及功能的分类表:
| 功能类别 | 参数/选项 | 功能描述 |
|---|---|---|
| 基础配置 | -NatName |
指定 NAT 实例的名称,筛选特定 NAT 实例下的静态映射。 |
| 过滤配置 | -InternalIPAddress |
过滤并仅显示匹配指定内部 IP 地址的静态映射。 |
-InternalPort |
过滤并仅显示匹配指定内部端口号的静态映射。 | |
| 外部网络配置 | -ExternalIPAddress |
过滤并仅显示匹配指定外部 IP 地址的静态映射。 |
-ExternalPort |
过滤并仅显示匹配指定外部端口号的静态映射。 | |
| 协议配置 | -Protocol |
过滤并仅显示匹配指定协议(如 TCP 或 UDP)的静态映射。 |
| 状态配置 | -Enabled |
过滤并显示启用($true)或禁用($false)的静态映射。 |
| 详细输出配置 | -PassThru |
返回命令的输出对象,以便进一步操作或验证。 |
| 接口配置 | -InterfaceIndex |
过滤并显示在指定网络接口上的静态映射。 |
| 描述信息 | -Description |
过滤并仅显示包含指定描述的静态映射。 |
示例:
-
获取所有静态映射:
powershellCopy CodeGet-NetNatStaticMapping -
获取特定 NAT 实例下的所有静态映射:
powershellCopy CodeGet-NetNatStaticMapping -NatName "MyNat" -
获取特定内部 IP 和端口的静态映射:
powershellCopy CodeGet-NetNatStaticMapping -InternalIPAddress "192.168.1.10" -InternalPort 8080 -
获取所有启用的静态映射:
powershellCopy CodeGet-NetNatStaticMapping -Enabled $true -
获取特定外部 IP 的静态映射:
powershellCopy CodeGet-NetNatStaticMapping -ExternalIPAddress "203.0.113.5" -
获取所有协议为
TCP的静态映射:powershellCopy CodeGet-NetNatStaticMapping -Protocol TCP
通过这些参数,Get-NetNatStaticMapping 可以帮助你过滤和查看当前网络上 NAT 实例中的端口映射配置,便于管理和调试。
在PowerShell中进行端口映射可以使用New-NetNat和Add-NetNatStaticMapping命令来实现。以下是在PowerShell中进行端口映射的示例:
使用 New-NetNat 和 Add-NetNatStaticMapping 命令进行端口映射
- 创建一个新的网络地址转换(NAT):
New-NetNat -Name "MyNAT" -InternalIPInterfaceAddressPrefix "192.168.0.0/24"这将创建一个名为"MyNAT"的新NAT,并指定内部IP接口的地址前缀。
- 添加静态映射规则:
Add-NetNatStaticMapping -ExternalIPAddress "0.0.0.0" -ExternalPort 8080 -InternalIPAddress "192.168.0.10" -InternalPort 80 -Protocol TCPExternalIPAddress: 外部IP地址,通常为0.0.0.0(所有外部地址)ExternalPort: 外部端口,映射到的外部端口InternalIPAddress: 内部IP地址,映射到的目标服务器地址InternalPort: 内部端口,映射到的目标服务器端口Protocol: 协议类型,如TCP或UDP
示例
假设你想将外部端口8080映射到内部服务器的端口80,示例如下:
New-NetNat -Name "MyNAT" -InternalIPInterfaceAddressPrefix "192.168.0.0/24"
Add-NetNatStaticMapping -ExternalIPAddress "0.0.0.0" -ExternalPort 8080 -InternalIPAddress "192.168.0.10" -InternalPort 80 -Protocol TCP这将创建一个名为"MyNAT"的NAT,并将外部端口8080映射到内部服务器的端口80上。
通过使用New-NetNat和Add-NetNatStaticMapping命令,你可以在PowerShell中设置端口映射规则。
在PowerShell中查看端口映射规则可以使用Get-NetNatStaticMapping命令。这个命令可以列出当前配置的所有静态映射规则。以下是如何在PowerShell中查看端口映射规则的示例:
使用 Get-NetNatStaticMapping 命令查看端口映射规则
- 查看所有端口映射规则:
Get-NetNatStaticMapping此命令将列出所有当前配置的端口映射规则,包括外部IP地址、外部端口、内部IP地址、内部端口和协议等信息。
- 查看特定端口映射规则:
如果你只想查看特定的端口映射规则,可以使用筛选参数来限制结果。例如,查看外部端口为8080的映射规则:
Get-NetNatStaticMapping | Where-Object {$_.ExternalPort -eq 8080}这将显示外部端口为8080的端口映射规则的详细信息。
通过使用Get-NetNatStaticMapping命令,你可以轻松查看当前配置的端口映射规则,以便进行监控和管理。根据需要,你还可以结合其他命令和过滤条件,对端口映射规则进行进一步的筛选和操作。
在 PowerShell 中,NetNat 不能直接将端口转发到本机或物理局域网设备。如果你希望实现通过 PowerShell 脚本进行端口转发,可以结合使用 NetNat 和 New-NetIPAddress 配置。下面是一个可能的 PowerShell 解决方案,它包括如何通过虚拟网络地址进行端口转发:
PowerShell 脚本解决方案:端口转发到物理局域网设备
假设你需要将流量从本机某个端口(例如 8080)转发到本地物理网卡上的设备(例如 192.168.1.100:80),你可以按照以下步骤操作:
步骤 1:创建 NAT(Network Address Translation)规则
首先,确保你已经创建了 NAT 规则,允许从本机到虚拟网络的流量转发:
# 创建一个虚拟 NAT 网络接口 (例如 vEthernet)
New-NetIPAddress -IPAddress 192.168.100.1 -PrefixLength 24 -InterfaceAlias "vEthernet (Default Switch)"
# 创建 NAT 网络规则
New-NetNat -Name "MyNat" -InternalIPInterfaceAddressPrefix "192.168.100.0/24" -ExternalIPAddress "0.0.0.0"步骤 2:配置端口转发规则
接下来,你需要设置端口转发规则,将流量从本机某个端口(如 8080)转发到物理局域网设备上的目标 IP(例如 192.168.1.100:80):
# 设置端口转发规则
New-NetIPAddress -IPAddress "192.168.100.2" -PrefixLength 24 -InterfaceAlias "vEthernet (Default Switch)"
# 配置转发规则
Add-NetNatStaticMapping -NatName "MyNat" -Protocol TCP -ExternalIPAddress "0.0.0.0" -ExternalPort 8080 -InternalIPAddress "192.168.1.100" -InternalPort 80步骤 3:测试并验证
你可以通过以下 PowerShell 命令验证 NAT 和端口转发规则是否已经配置成功:
# 查看 NAT 配置
Get-NetNat
# 查看 NAT 转发的静态规则
Get-NetNatStaticMapping说明:
New-NetIPAddress:此命令创建并配置虚拟网络接口的 IP 地址,确保端口转发规则能够生效。New-NetNat:此命令创建一个 NAT 网络,允许你设置规则进行 IP 地址和端口映射。Add-NetNatStaticMapping:此命令添加一个静态映射规则,将外部端口的流量转发到指定的内部设备和端口。Get-NetNat和Get-NetNatStaticMapping:这些命令用于验证和查看当前的 NAT 配置。
注意:
- 虚拟网卡:如果你使用的是 WSL、虚拟机或其他虚拟化技术,确保相关的虚拟网卡和接口正确配置。
- 网络适配器:确保目标物理局域网设备的 IP 地址正确无误,并且防火墙设置允许来自你配置的端口的流量。
这个方案使用 PowerShell 配置了一个端口转发规则,可以通过虚拟网络接口将流量转发到物理网络上的目标设备,解决了 NetNat 只能转发到虚拟设备的问题。
浙公网安备 33010602011771号