端口映射,让外网访问内网服务器 思科

随便给你举个例子，你在你的出口路由器上做这个映射，表示如果你访问外网115001的8080端口的话，可以映射到你内网1921681100的80端口上。static表示这是静态映射，tcp表示连接是tcp连接。然后你还得在对应的内外网接口上分别加上命令ip nat inside（outside）

Router(config)#ip nat inside source static tcp 1921681100 80 115001 8080

cisco路由器做nat是不允许用外网IP访问内部的服务器的，如果是pix还可以用alias这样的命令，不过路由器上不行的。可行的办法是自己建一个dns服务器，解析服务器的域名到内部IP，其他的向上转发到运营商的dns，让公司的电脑的dns使用内部dns服务器。

打开本地安全设置，点“IP安全策略，在本地机器”——>创建IP安全策略---->下一步---->名称随便写，如输入阻止，然后一直点下一步，出现提示点是，一直到完成，这个时候就创建了一个名为“阻止”的策略了

下面点“IP安全策略，在本地机器”——>管理IP筛选器表和筛选器操作---->点添加---->名称添7515625（为了识别最好填写对应的IP段）---->点添加---->下一步---->源地址选择一个特定的IP子网，IP输入75156250 子网掩码改为2552552550---->下一步---->目标地址选择我的IP地址---->下一步---->协议类型为任意---->下一步---->完成 全部关闭

下面点我们开始建立的名为“阻止”的策略，点属性---->填加---->下一步---->下一步网络类型选择所有网络连接---->下一步---->出现提示点是---->到IP筛选列表，点中我们刚才创建的名为7515625的选项---->下一步---->选择阻止---->下一步到完成、关闭

最后点“阻止”这个策略，右键，指派，到这里为止我们就已经阻止了7515625开头的网段了，当然也阻止了7515625192这个IP的攻击了，如还要封其他IP的攻击同样操作即可

1 登陆到cisco路由器，配置如下命令

2 router#(config)access-list 100 deny tcp host 10111 any eq www

router#(config)access-list 100 permit ip any any

Router(config)#int fa0/1

Router(config-if)#ip access-group 100 in

注释：10111 2552552550 为PC的ip地址

int fa0/1为pc连接路由器的接口。