服务器映射NAT是什么？

一句话核心

服务器映射 NAT 是一种网络技术，它能让互联网上的用户访问到你位于家庭或公司内部网络（私网）里的服务器（比如网站、游戏服务器、监控摄像头等）。

你可以把它想象成给公司大楼里的一个特定房间（你的内网服务器）设置一个公开的、唯一的门牌号（公网IP:端口），并让大楼前台（NAT路由器）知道，所有找这个门牌号的访客，都必须被引导到这个房间。

详细解释

背景问题：为什么需要它？

IP地址短缺我们常用的 IPv4 地址数量有限，不可能给每个设备都分配一个全球唯一的公网IP地址。

网络安全家庭和公司内部通常使用私有IP地址（如192.168.1.100），这些地址在互联网上是不可直接路由的，外界无法直接找到它们。

运营商策略很多宽带运营商会给家庭用户分配一个“内网IP”（即运营商级NAT），你甚至连一个独享的公网IP都没有。

这就产生了一个矛盾：你想把内网的服务器公开到互联网上提供服务，但外界根本找不到它。

NAT 是什么？

网络地址转换，你的路由器就是这个转换器。

当你的内网电脑访问外网（比如刷网页）时，路由器会把你的私网IP（192.168.1.100）和端口，转换（映射）成路由器的公网IP和一个新端口，然后发出去，返回的数据包，路由器再根据记录转换回来，送给你的电脑。

这个过程是“由内向外” 发起的，路由器能自动处理，默认情况下，“由外向内” 的访问请求会被路由器直接丢弃，因为它不知道这个外来请求应该发给内网的哪台设备。

“服务器映射”解决了什么？

“服务器映射 NAT”（通常称为端口转发 或虚拟服务器）就是手动告诉你的路由器：

> “嘿，路由器！所有从互联网发来的、访问你公网IP的某个特定端口（80端口） 的请求，别扔掉，统统转发给我内网里IP为 192.168.1.100 的那台服务器的 80端口。”

这样，当互联网用户访问你的公网IP:80 时，请求就能穿透路由器的防火墙，精准地到达你内网的服务器上。

关键概念和操作步骤

需要设置的三个核心参数（在路由器设置页面中）：

1、外部端口：公网IP上对外开放的端口号，例如80（HTTP）、443（HTTPS）、25565（Minecraft）、3389（远程桌面）。

2、内部IP地址：你内网中那台服务器的固定私有IP地址，必须设置为静态IP，防止重启后IP变化导致映射失效。

3、内部端口：内网服务器上服务实际监听的端口号，通常外部端口和内部端口一致。

常见类型：

端口转发最标准的映射，一对一，一个外部端口对应一个内网IP和端口。

DMZ 主机一种极端的“映射”，将所有未被明确转发的外来端口流量，全部转发给指定的一台内网设备。风险极高，相当于把那台设备完全暴露在公网，一般不推荐。

UPnP一些程序（如游戏、下载软件）可以自动请求路由器开通临时端口映射，无需手动设置，但存在安全风险。

实际应用场景

1、搭建个人网站/博客：在家里的NAS或旧电脑上搭建网站，映射80/443端口。

2、远程访问家中的设备：映射相应端口，远程访问家里的监控摄像头、文件服务器（如Nextcloud）、数据库等。

3、联机游戏服务器：和朋友玩《我的世界》、《泰拉瑞亚》等自建服务器游戏，需要映射游戏指定的端口（如25565）。

4、远程桌面/SSH：从公司访问家里的电脑进行办公，需要映射3389（RDP）或22（SSH）端口。

重要限制与注意事项

1、公网IP是前提：你必须有一个真实的公网IP地址，如果你处于运营商级NAT之后（即你的路由器WAN口IP也是10.x.x.x，100.x.x.x 或172.16.x.x 等内网地址），则端口转发无效，此时需要用到内网穿透 技术（如 frp、ngrok、花生壳）。

2、安全风险：开放端口意味着在防火墙上开了一个洞，务必：

* 保持服务器系统和服务软件更新。

* 使用强密码。

* 尽可能使用非标准端口（如不用22用22222做SSH）以避免自动化攻击扫描。

* 只映射必要的端口。

3、动态公网IP：家庭宽带的公网IP可能会变化，需要使用动态DNS 服务，将一个域名绑定到你变化的IP上，方便访问。

服务器映射 NAT（端口转发） 是连接私有网络与公共互联网的桥梁，它通过配置路由器，将指向公网IP特定端口的流量，定向转发到内网指定的服务器上，从而实现从外网访问内网服务的目的，它是网络爱好者、开发者和小型企业实现自建服务公网访问的基石技术。

文章摘自：https://idc.huochengrm.cn/js/20904.html