Winbox下配置RouterOS端口映射及解決真實IP顯示及迴流問題

第一步，固然是正確的安裝ros,而後配置上網成功，這個網上教程不少咱們這裏就不作介紹了

第二步，咱們就來教你們如何配置端口映射
    進入winbox,點擊IP→ Firewall→Nat打開防火牆設置界面。點擊左上角紅色的「+」號，添加一條dstnat規則，其中dst.address填寫你要映射的外網IP，本例爲218.87.96.xxx(此處請填入您的外網IP),而後選擇protocol協議爲6，即TCP協議，設置Dst. port（目標端口）爲80。

    單擊「Action」選項卡，在Action框中，選擇「dst-nat」，在「To.Address」框中填寫內網提供服務的IP地址，本例爲192.168.1.3,在「To.Port」填寫內網提供服務的IP端口，這樣基本映射就完成了

此時能夠在外網中輸入你的外網IP，便可看到內網192.168.1.3WEB服務器上的網站了。

 

第三步，解決IP顯示和迴流問題
     通過第二步的基本端口映射設置後，外部能夠訪問內網了，但存在一些不完善的地方，例如全部的外網訪客的地址都是路由器的內網網關，本例爲 192.168.1.1。這樣就沒法統計訪客的來源，還有許多的不便，例如WEB中的論壇就沒法屏蔽一些會員的IP了，由於你們都是 192.168.1.1。

     緣由是這樣形成的：爲了使整個內網的全部機子共享上網，在設置ROS時，咱們都要設置一條srcnat規則，Action設置爲「Amasquerade」，Amasquerade是snat的一個特例,主要用在無固定ip網關的狀況下,好比adsl撥號等,masquerade 比nat效率低的緣由是nat直接指出須要假裝的源地址,而masquerade須要假裝的源地址必須到默網關中尋找,masquerade永遠以默認網關地址爲ip假裝的源地址,因此首先效率慢了點,其次只能用在外網ip只有一個的狀況,若是有多個wan接口就不能用masquerade，而只能用 nat,由於nat能夠手工指定多個須要假裝的源ip地址，而masquerade卻只能找到一個地址,就是默認網關的地址。

    因爲NAT方設置較Amasquerade複雜，加上如今大量的ROS教程都是以Amasquerade方式共享上網，因此目前在用的ROS大多數採用 Amasquerade設置共享。經過上面分析，咱們能夠看出爲何在端口映射後，外網訪問的IP都成了內網網關，解決的方法有兩種，一是改用nat方式，這種方式有侷限性，只能用於固定IP的外網，如果ADSL則不能用；另外一個方法是經過調整masquerade的設置來完成顯示外網IP,具體操做以下，進入winbox,點擊IP→ Firewall→Nat打開防火牆設置界面,雙擊原來創建的srcnat規則Amasquerade（用於共享上網），在「General」選項卡的 「Out. Interface」選中「LAN」即內網網卡，單擊將前面的小框，在框中出現「！」，單擊「OK」完成此設置。

 

    這樣設置完成後，咱們能夠發現外網訪客能夠正常訪問，並且IP顯示也是正確的，但同時致使別一個問題，就是內網用戶不能用外部ip訪問映射的內部服務器,要按下面方法解決：再增長一條對內網的規則，Action設置爲「Amasquerade」，在「General」選項卡中，設置Chain爲 「srcnat」,Src. Address爲「192.168.0.0/21」因爲本例中的內網有192.168.0、192.168.一、192.168.7等幾個C類網段，因此在此將子網設置爲21,也就是255.255.248.0，設置好後如圖5所示。通常的狀況，只有一個網段時，例如192.168.1,能夠設置子網掩碼爲24，即255.255.255.0,此處能夠填寫：192.168.1.0/24,能夠根據本身內網狀況做相對應的修改。

 

    此到，內外網都能正常訪問了且外網訪客IP是正確的，此時內網用外網IP訪問WEB時，顯示的IP是內網網關地址，用這種方法能夠實現內外網用戶都用網關外部ip訪問映射的內部服務,並解決了外部用戶顯示的ip不正確問題,固然這種方法內網用戶顯示的ip仍是不正確的,要解決內網顯示ip問題, 能夠在routeros中設dns服務器,用域名來訪問,內網訪問內網ip,外網訪問外網ip就能完美解決。我想咱們主要是要知道外網的IP，內網的IP 並不重要。因此至此設置就能夠算是完畢了。
　下面說一回流的問題，其實所迴流，就是將內網源地址爲網段的全部機器對全部目標地址的需求全都進行源地址轉換爲外網IP，而後轉發出去。全部從外網回來的數據經過外網IP再回傳到內網的機器，這樣就保證了內網上網正常,但這樣的效率降低到原來的50%,顯然是不合算的。對於Amasquerade 來共享上網時，外網訪問的IP顯示仍是內網網關，因此迴流是不可取的。雖不可取，咱們也把方法寫出來，供你們參考，添加一條srcnat規則， src.address寫上內網的網絡地址，請注意，不是主機地址,指提是網段，若內網IP是192.168.0.X網段而且子網掩碼是 255.255.255.0,那麼就填寫192.168.0.0/24,dst.address填寫的是內網提供服務的主機IP protocol協議和port 端口請參看本文前面的內容，action選項卡仍是選擇src-nat to.address則填寫映射的外網IP,port 端口。