端口回流与dns-map与域内NAT

回流的概念：

端口回流&DNS-map&域内NAT

组网分析：

某企业内部一台主机建了个WEB服务站点端口80，然后在网关Router上映射80端口到Web Server的80端口，这样外网上上就能以公网地址202.38.1.1:80的地址访问到Web Server的站点了。

但是Host A通过公网地址却无法访问服务器，如果Router支持端口回流的话那么Host A就可以通过公网地址访问内部服务器。

原因分析：

如上图可以很明显的看出报文①发送到Router，Router根据NAT映射将目标地址改为10.110.10.1发送报文②。但是源地址不变仍为10.110.10.3。而后Web Server接收报文②后，发回③报文给Host A。注意此报文发送没有经过Router而是直接走二层。所以就导致了一个问题，Host A的请求目标为202.38.1.1，但是回应的源地址为10.110.10.1。所以导致会话不能建立。(但是ICMP是可以的，因为ICMP是基于进程号—sequence number)

解决方法：

1) 将Host A和Web Server的地址设置为不同网段，这一步可以通过划分vlan

解决，即服务器和主机在不同的网段。或者可以在路由器的内网接口下配置sub地址，也能解决此问题。只要数据流经过Router就可以正常访问。

2) 路由器支持端口回流，其原理如下：

当路由器收到Host A发送的向202.38.1.1发送的TCP请求报文时，路由器将目标地址改为NAT的映射后的私网地址（10.110.10.1），端口为80。同时也把请求报文的源地址改为内部网关的地址即10.110.10.10，端口1025。之后Web服务器收到此请求报文。并对其回应。因为报文的源地址为网关地址。所以此报文会再经过网关。从而再次转换。达到Host A可以正常访问服务器的目的。其实这一步也可以理解为基于源地址转换的NAT。即本文后面要说到的域内NAT。

为什么说是端口回流，因为在大多数soho级的路由器中-如D-Link的路由有一个专门的选项为“端口回流”（此特性要看具体型号）如下：

通过NAT完成“端口回流“

但是在中高端企业级路由器上则没有这么一说。因为此功能完全可以由路由器NAT来完成。假设Router为H3C的路由器。配置如下：

acl number 2000

rule 10 permit source 10.110.10.0 0.0.255.255

rule 15 deny

#

acl number 3000

rule 10 permit ip source 10.110.10.0 0.0.255.255 destination 10.110.10.1 0

rule 15 deny ip

#

interface GigabitEthernet1/1

description inside

nat outbound 2000(此处也可用acl 3000)

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1 nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

description outside

nat outbound 2000

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1

nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 202.38.1.1 255.255.255.0

如上所示，外网口和内网口的配置全部相同。这样内网数据在访问web的服务器地址时202.38.1.1，在内网接口G1/1根据NAT Server将目标地址转换为内网地址10.110.10.1，源地址根据nat outbound 2000把源地址改为G1/1接口的地址。即和上面端口回流原理一样。如此即可建立连接。

或者很简单的将内网的PC和Web Server分到不同的网段。PC改为10.111.10.3网关为10.111.10.1，配置如下：

interface interface GigabitEthernet1/1

description inside

nat server protocol icmp global 202.38.1.1 inside 10.110.10.1 nat server protocol tcp global 202.38.1.1 telnet inside 10.110.10.1 telnet

nat server protocol tcp global 202.38.1.1 3389 inside 10.110.10.1 3389

ip address 10.110.10.10 255.255.0.0

ip address 10.111.10.1 255.255.0.0 sub

而此种方式不需要内网接口配置nat outbound，比较简单。

ping的效果：

C:\Users\MELODY>ping 10.110.10.1

正在 Ping 10.111.10.1 具有 32 字节的数据:

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

C:\Users\MELODY>ping 202.38.1.1

正在 Ping 202.38.1.1 具有 32 字节的数据:

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复: 字节=32 时间<1ms TTL=255

上下比较对于ICMP来说即使ping的目标和回应的地址不同，凭借ICMP的sequence number-ICMP也是可达的。由此我们更应想到，对NAT Server的原理：当数据包进入接口时对数据包的目标地址进行NAT Server的转换，在出接口时对数据包的源地址进行转换---如果地址都匹配NAT Server配置的地址。

关于域内NAT

我相信，凡事配置过防火墙的工程师都应配置过域内NAT，域内NAT的原理和如上H3C路由器的内网接口配置nat outbound的原理如出一辙。只是防火墙配置的位置为域内，而路由器为接口。具体配置可参考我之前的“华赛USG 域内NAT”一文。

关于dns-map

Dns-map是H3C的一个技术。nat dns-map命令用来配置一条域名到外部IP地址、端口号、协议类型的映射。此命令用于配置内部服务器的“域名-外部IP地址、端口、协议类型”的映射，使内部主机在内部网络无DNS服务器的情况下，可以使用不同的域名区别并访问对应的内部服务器。最多允许配置16条映射。

该功能的实现是对原有DNS ALG的补充和修改。DNS ALG模块的处理流程：内网DNS服务器发向其上级DNS服务器的DNS回应报文中的地址，使用nat server命令中设置的DNS映射地址替换原有DNS回应报文中的地址。

配置dns-map后的处理流程：对外网DNS server发向内网PC的DNS回应报文中，如果该报文中包含的域名是使用dns-map命令中定义的，那么替换该报文中的公网地址为使用nat server命令映射的私网地址。

配置实例：

客户需求：

1) 使用H3C路由器作为NAT设备作easy nat实现内网对公网的访问

2) 内部服务器能够被外网以域名方式访问，域名已注册，能被公网dns服务器正

确解析为202.38.1.1

3) 内网用户也能像外网用户一样通过域名访问内网服务器

参考配置：

nat dns-map www123.com 202.38.1.1 80 tcp

nat dns-map 202.38.1.1 21 tcp

nat dns-map 202.38.1.1 25 tcp

nat dns-map 202.38.1.1 110 tcp

#

acl number 2000

rule 10 permit ip source 10.110.0.0 0.0.255.255

#

interface GigabitEthernet1/1

description inside

ip address 10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

description outside

nat outbound 2000

nat server protocol tcp global 202.38.1.1 www inside 10.110.10.1 www nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.1 smtp nat server protocol tcp global 202.38.1.1 pop3 inside 10.110.10.1 pop3 nat server protocol tcp global 202.38.1.1 4899 inside 10.110.10.1 4899 nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.1 8080 nat server protocol udp global 202.38.1.1 dns inside 10.110.10.1 dns ip address 202.38.1.1 255.255.255.0

要替换的报文如下：

由上可以看出，dns-map将匹配的域名和公网地址的DNS回应报文的解析地址改为了内网地址，如此内网的PC就可以通过内网地址访问服务器了。只是将DNS解析请求发到了公网而已。之后的数据走的都是二层了。但是有个弊端就是PC与服务器的数据流没有经过三层，降低了安全性。

第二篇：端口

在Windows中如何关闭/打开端口

2009-05-26 16:18

在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

关闭端口

比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口

如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。 提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

常见网络端口

21端口

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

作者： 222.83.180.* 2005-6-15 05:12 回复此发言

17

接上

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。

23端口

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省

端口。所以，建议关闭23端口。

25端口

端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口 端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

53端口

端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。 操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

67、68端口

端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

操作建议：建议关闭该端口。

端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以

作者： 222.83.180.* 2005-6-15 05:13 回复此发言

18

接上

79端口

端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机上的user01用户的信息，可以在命令行中键入“finger user01@”即可。

端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议：建议关闭该端口。

80端口

端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。 操作建议：为了能正常上网冲浪，我们必须开启80端口。

99端口

端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

操作建议：建议关闭该端口。

★109、110端口

端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口 端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。 操作建议：如果是执行邮件服务器，可以打开该端口。

★111端口

端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。

端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超

113端口

端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以

及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。

作者： 222.83.180.* 2005-6-15 05:14 回复此发言

21

接上

操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口。 1755端口

端口说明：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS），该协议是由微软发布的流媒体协议，通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等，可以使用Windows Media Player等媒体播放软件来实时播放。其中，具体来讲，1755端口又可以分为TCP和UDP的MMS协议，分别是MMST和MMSU，一般采用TCP的MMS协议，即MMST。目前，流媒体和普通下载软件大部分都支持MMS协议。

端口漏洞：目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看，并没有什么特别明显的漏洞，主要一个就是MMS协议与防火墙和NAT（网络地址转换）之间存在的兼容性问题。

操作建议：为了能实时播放、下载到MMS协议的流媒体文件，建议开启该端口。 4000端口

端口说明：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。通过4000端口，QQ客户端程序可以向QQ服务器发送信息，实现身份验证、消息转发等，QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议，而是属于UDP协议。

端口漏洞：因为4000端口属于UDP端口，虽然可以直接传送消息，但是也存在着各种漏洞，比如Worm_Witty.A（维迪）蠕虫病毒就是利用4000端口向随机IP发送病毒，并且伪装成ICQ数据包，造成的后果就是向硬盘中写入随机数据。另外，Trojan.SkyDance特洛伊木马病毒也是利用该端口的。

操作建议：为了用QQ聊天，4000大门敞开也无妨。

5554端口

端口说明：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

端口漏洞：在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒，并尝试连接TCP 445端口并发送攻击，中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象，甚至会被黑客利用夺取系统的控制权限。

操作建议：为了防止感染“震荡波”病毒，建议关闭5554端口。

5632端口

端口说明：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口，分TCP和UDP两种，通过该端口可以实现在本地计算机上控制远程计算机，查看远程计算机屏幕，进行文件传输，实现文件同步传输。在安装了pcAnwhere被控端计算机启动后，pcAnywhere主控端程序会自动扫描该端口。

端口漏洞：通过5632端口主控端计算机可以控制远程计算机，进行各种操作，可能会被不

法分子所利用盗取账号，盗取重要数据，进行各种破坏。

操作建议：为了避免通过5632端口进行扫描并远程控制计算机，建议关闭该端口。 8080端口

端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如

.cn:8080。

端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端