跳转至

防火墙

注意: 此文档适用于固件 v4.5 及更早版本。

自固件 v4.6 以后,防火墙页面已被拆分。端口转发和 DMZ 功能已移至端口转发。开放端口功能已移至安全

家用路由器普遍采用 NAT 网络地址转换。在 NAT 机制下,局域网内的设备不会直接暴露在公网中,外部网络无法主动访问内网设备。而端口转发可以解决这一问题,实现外网对局域网设备的远程访问,例如 FTP 服务器、网络摄像头等。

端口转发的核心作用,是让内网设备可被外网发现并建立连接。它通过建立一一对应的映射关系,将路由器的 WAN 公网 IP 及外部端口,映射到内网设备的 IP 地址与对应服务端口。

应用场景:

  1. 外出时远程登录家中路由器,进行网络管理。
  2. 远程查看家中网络摄像头的监控画面。

在管理面板左侧的菜单栏 -> 网络 -> 防火墙,可看到如下页面。

防火墙

端口转发

如果您在设备局域网中部署了服务器,且希望通过广域网访问它们,可以使用它们的内网 IP 地址和服务端口,为其设置端口转发。

在“端口转发”部分,点击右侧的“添加”,在弹窗中添加端口转发规则。

端口转发

  • 名称:您可以设置的规则名称。

  • 内部IP:路由器分配给需要远程访问设备的IP地址。

  • 外部端口:外部端口号,您可以输入特定的端口号或端口范围。(例如:1-65535)

  • 内部端口:设备的内置端口号,请输入指定的端口号。如与外部端口号相同,则保留空白即可。

  • 协议:您可以选择 TCP/UDP、TCP、UDP协议。

  • 状态:可设置启用/禁止。

开放路由器端口

开放路由器端口可以让广域网的外部设备访问路由器内部资源,如 web 服务器、FTP 服务器等。

在“开放路由器端口”部分,点击右侧的“添加”,在弹窗中添加新开放端口。

开放路由器端口

  • 名称:您可以设置规则名称。

  • 端口:您需要打开的端口号。

  • 协议:您可以选择 TCP/UDP、TCP、UDP协议。

  • 状态:可设置启用/禁止。

DMZ

DMZ 可以将局域网中的指定设备完全暴露给广域网,以将所有的入站数据包重定向到该设备上。在为广域网提供服务的同时,可确保局域网内的其他设备的安全。

在“DMZ”部分,点击“启用 DMZ”,从下拉框中选择 DMZ 主机 IP。该设备将接受所有入站数据包。

DMZ

常用端口

以下是网络服务中一些常用的端口号。

  • 22:SSH 服务
  • 23:Telnet 服务
  • 53:DNS 服务
  • 80:Web 服务
  • 445:Samba 服务

配置示例

以三台路由器和三台电脑为例,网络拓扑如下所示。

端口转发网络拓扑

开放端口设置

假设需要从电脑2访问第3级路由 GL-SFT1200 的管理界面,则要开放 GL-SFT1200 的特定端口服务(以路由器的 Web 端口 80 和 SSH 端口 22为例),因此需要在第3级路由器 GL-SFT1200 上进行开放端口设置。

登录第3级路由 GL-SFT1200,将 80 端口和 22 端口打开,如下图所示。

开放端口

测试连接:

  • 在电脑2上,打开浏览器,输入 192.168.4.200,默认使用 80 端口,即可打开 GL-SFT1200 的 web 界面。

  • 在电脑2上,使用 SSH 服务软件,访问 192.168.4.200,默认使用 22 端口,即可通过 SSH 登录到路由器 GL-SFT1200 的后台。

端口转发设置

端口转发,默认是从 WAN 口指定特定端口发起,然后转发到 LAN 上的特定端口上。

假设需要从电脑1通过某两个端口(例如 8000 端口和 7000 端口),分别访问第3级路由 GL-SFT1200的管理界面和后台(默认为 80 端口和22端口),则需要在第2级路由 GL-AXT1800 上设置端口转发。

在第2级路由 GL-AXT1800 上,将 WAN 的 8000 端口转发到 GL-SFT1200(IP:192.168.4.200)的内部 80 端口;同时将 WAN 的 7000 端口转发到 GL-SFT1200 的内部 22 端口。设置如下:

端口转发

在第3级路由 GL-SFT1200 上,打开 80 端口和 22 端口。

开放端口

测试连接:

  • 在电脑1上,打开浏览器,输入 192.168.2.170:8000,即可打开 GL-SFT1200 的 web 界面。

  • 在电脑1上,使用 SSH 服务软件,访问 192.168.2.170:7000,即可通过 SSH 登录到路由器 GL-SFT1200 。

DMZ

假设需要将第3级路由 GL-SFT1200 下的电脑 3(Ubuntu)暴露给 WAN 侧设备,使电脑2可通过 SSH 协议直接访问 Ubuntu 系统,则需要在第3级路由 GL-SFT1200 上启用 DMZ,将电脑3 Ubuntu 设为 DMZ 主机。

操作步骤:在第3级路由器 GL-SFT1200 中,启用 DMZ,然后指定 Ubuntu 的 IP 地址为 DMZ 主机 IP。

测试连接:在电脑 2 上,使用 SSH 服务软件,输入第 3 级路由器 GL-SFT1200 的 WAN IP(即 192.168.4.200),即可通过默认 22 端口远程登录 Ubuntu 的 SSH 终端。