Windows端口转发(Port Forwarding in Windows)

在Windows系统中，从XP开始就内嵌了一个设置网络端口转发的功能。依靠这个功能，任何到本地端口的TCP连接（ipv4或ipv6）都能够被转发到任意一个本地端口，甚至是远程主机的某个端口。并且，Windows系统并不需要去开启监听这个转发端口的服务。

在Windows服务器中，远程访问控制协议（RRAS）通常被用作端口转发，但是有一种更简单的配置方法，并且这种配置方法适用于windows的任意版本。

Windows系统下的端口转发使用portproxy模式下的netsh命令，该命令的使用前提是要在管理员身份打开cmd进行执行。

netsh interface portproxy add v4tov4  listenaddress =localaddress listenport = localport connectaddress =destaddress  connectport =destport protocol= tcp

listenaddress – 待连接的ip地址。

listenport –待连接的tcp本地端口 。

connectaddress – 待连接被转发的本地或远程主机的ip地址(支持域名)

connectport –从listenport转发到的tcp端口

netsh interface portproxy add v4tov4  listenport=3340 listenaddress=1011110  connectport=3389 connectaddress=1011110

1) netstat -ano | findstr :3340来验证3340端口是否正在监听中，如果该命令没有返回任何信息，或者说通过netsh接口并没有实现端口转发的功能，那么需要查看下系统是否开启了iphlpsvc（ip Helper）服务。

2) tasklist | findstr 3340查看监听该端口的进程

3) 检查防火墙是否关闭，如果关闭则跳过。如果打开需要手工配置相应的防火墙。

连接时请确保防火墙（Windows防火墙或者其他的第三方防护软件）允许外部连接到一个全新的端口，如果不允许，那么只能自行添加一个新的Windows防火墙规则，命令如下：netsh advfirewall firewall add rule name=”forwarded_RDPport_3340”  protocol=TCP dir=in localip=1011110  localport=3340 action=allow

当通过Windows防火墙接口为3340端口建立一个新的规则时，这个端口需要保证没有被任何程序占用，也就是说此端口仅供网络驱动使用。你可以创立任意的Windows端口转发规则，所有的netsh接口下的端口代理规则都是永久的，并且储存在系统中（不受开机重启的影响）。

查看系统中的所有转发规则是否生效：

netsh interface portproxy show all

查看端口转发的设置：netsh interface portproxy dump

删掉一个特定的端口转发规则：

netsh interface portproxy delete v4tov4

清空当前所有的配置规则：

netsh interface portproxy reset

从远程主机来尝试连接这个新转发的端口3340，3340端口等同于原来的3389端口，连接的地址为10101110:3340。

注意：这些转发规则仅仅适用于TCP端口，对于UDP的端口转发，使用上面的方法是无效的。在配置规则时，不能将127001作为连接地址。

1) 通过一台windows机器端口转发到一台windows远程主机

netsh interface portproxy add v4tov4  listenport=3340 listenaddress=1011110  connectport=3389  connectaddress=1011110

netsh interface portproxy add v4tov4 listenport=3389 listenaddress=0000 connectport=3389 connectaddress=192168100101

2) 通过一台ipv4的Windows机器转发到一台ipv6的服务器。

netsh interface portproxy add v4tov6  listenport=3340 listenaddress=1011110  connectport=3389  connectaddress=ffff::66

1) 在Windows Server 2012 R2中，端口转发规则有可能会在系统重启后被重置，在这种情况下，需要在网络协议中检查是否存在配置不当，导致网络的间断性断开，或者当系统重启时是否出现了ip地址的变换（推荐使用静态ip）。在一个工作组里，通常是在windows任务计划程序里添加了一个实现端口转发的脚本。

2) 在Windows 2003/XP中，必须在注册表（HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters）中找到并设置IPEnableRouter参数为1才能实现端口转发。

3) 防火墙规则检查

4) 端口转发依赖的ip helper服务是否启动

5) 端口转发是否生效

6) Windows7和WindowsServer2008R2安全事件的说明 操作系统日志标识

Windows日志查看

6273 网络策略服务器拒绝用户访问。

6274 网络策略服务器放弃用户的请求。

4868 证书管理器拒绝了挂起的证书请求。

4870 证书服务吊销了证书。

4944 当启动 Windows 防火墙时，以下策略处于活动状态。

4945 当启动 Windows 防火墙已列出规则。

4946 Windows 防火墙例外列表已更改。添加的规则。

4947 Windows 防火墙例外列表已更改。修改规则的。

4948 Windows 防火墙例外列表已更改。规则已被删除。

4949 Windows 防火墙设置都恢复为默认值。

4950 更改 Windows 防火墙设置。

4951 Windows 防火墙忽略规则，因为无法识别的主要版本号。

4952 Windows 防火墙忽略规则的部分，因为无法识别它的次要版本号。将强制执行该规则的其他部分。

4953 由于无法分析，Windows 防火墙将忽略规则。

4954 Windows 防火墙组策略设置已更改，并且未应用新设置。

4956 Windows 防火墙更改活动配置文件。

5024 Windows 防火墙服务已成功启动。

5025 Windows 防火墙服务已停止。

5027 Windows 防火墙服务无法从本地存储区中检索的安全策略。Windows 防火墙将继续执行当前的策略。

5028 Windows 防火墙无法分析新的安全策略。Windows 防火墙将继续执行当前的策略。

http://woshubcom/port-forwarding-in-windows/

用来转发UDP广播,因为router是分割广播域,即不转发广播;

有时侯需要router转发广播,例如公司的主机请求DHCP,而DHCP服务器放在不同网段,甚至跨越广域网,这时候就要求分公司的路由器转发DHCP请求的广播包

当然,UDP广播有很多,可以用ip forward-protocol {UDP[port]|nd|sdns} 命令来指定要转发的广播类型

这条命令应用到接口,需要另外的命令:(接口配置子模式)#ip helper-address xxxx

该借口为连接需要发送广播主机,xxxx为服务器

router(config)#ip forward-protocol

nd Sun's Network Disk protocol

sdns Network Security Protocol

spanning-tree Use transparent bridging to flood UDP broadcasts

turbo-flood Fast flooding of UDP broadcasts

udp Packets to a specific UDP port

如果定义了"ip helper-address address"命 令 和 指 定 了 这 8 个 U D P端 口 的"ip forward-protocol udp"命令，那么寻址这8个UDP端口的广播数据包将被自动转发。

"ip forward-protocol"描述：

"ip forward-protocol"命令描述

udpUDP-传输层协议

port(任选)当指定了"udp"关键字时，可以定义UDP目的地端口号或端口名

nd网络磁盘；无盘Sun工作站使用的一种老的协议

sdns网络安全协议

在进行TCP的代理时，只要在NET表上无脑进行REDIRECT就好了。例如使用ss-redir,你只要把tcp的流量redirect到ss-redir监听的端口上就OK了。但是当你使用这种方法的时候，就会不正常，因为对于UDP进行redirect之后，原始的目的地址和端口就找不到了。

这是为什么呢？

ss-redir的原理很简单：使用iptables对PREROUTING与OUTPUT的TCP/UDP流量进行REDIRECT（REDIRECT是DNAT的特例），ss—redir在捕获网络流量后，通过一些技术手段获取REDIRECT之前的目的地址（dst）与端口（port），连同网络流量一起转发至远程服务器。

针对TCP连接，的确是因为Linux Kernel连接跟踪机制的实现才使获取数据包原本的dst和port成为可能，但这种连接跟踪机制并非只存在于TCP连接中，UDP连接同样存在，conntrack -p udp便能看到UDP的连接跟踪记录。内核中有关TCP与UDP的NAT源码/net/netfilter/nf_nat_proto_tcpc和/net/netfilter/nf_nat_proto_udpc几乎一模一样，都是根据NAT的类型做SNAT或DNAT。

那这究竟是怎么一回事？为什么对于UDP连接就失效了呢？

回过头来看看ss-redir有关获取TCP原本的dst和port的源码，核心函数是getdestaddr：

在内核源码中搜了下有关SO_ORIGINAL_DST的东西，看到了getorigdst：

We only do TCP and SCTP at the moment。Oh，shit！只针对TCP与SCTP才能这么做，并非技术上不可行，只是人为地阻止罢了。

为了在redirect UDP后还能够获取原本的dst和port，ss-redir采用了TPROXY。Linux系统有关TPROXY的设置是以下三条命令：

大意就是在mangle表的PREROUTING中为每个UDP数据包打上0x2333/0x2333标志，之后在路由选择中将具有0x2333/0x2333标志的数据包投递到本地环回设备上的1080端口；对监听0000地址的1080端口的socket启用IP_TRANSPARENT标志，使IPv4路由能够将非本机的数据报投递到传输层，传递给监听1080端口的ss-redir。IP_RECVORIGDSTADDR与IPV6_RECVORIGDSTADDR则表示获取送达数据包的dst与port。

可问题来了：要知道mangle表并不会修改数据包，那么TPROXY是如何做到在不修改数据包的前提下将非本机dst的数据包投递到换回设备上的1080端口呢？

这个问题在内核中时如何实现的，还待研究，但是确定是TPROXY做了某些工作。

TPROXY主要功能：

TPROXY要解决的两个重要的问题

参考：

https://blogcsdnnet/ts__cf/article/details/78942294

https://vvlme/2018/06/09/from-ss-redir-to-linux-nat/

这个不用打开，自动转发的，如果你是问端口映射的话，直接映射得了，如果有TCP/UDP选择就选，没得选的就会自动按你的数据进行转发的。

答案补充

这个得看是什么路由器，有些名字叫转发规则，有些是虚拟服务器，反正里面有设置本地端口，外部端口，本地IP这样的信息就是这个功能的，一般自己做WEB服务器，FTP服务器，或做私服之类的玩才用这功能。

答案补充

进入路由器的设置页面，（要先把自己的机器IP设置成1921681X

X从2-254),然后在IE上输入http://19216811

也有些是路由是19216801,那就设置本机IP为1921680X,然后在IE上输入http://19216801

C# 实现Socket5代理协议通讯 这里主要讲的是用NET实现基于Socket5下面的代理协议进行客户端的通讯，Socket4的实现是类似的，注意的事，这里不是讲用C#实现一个代理服务器，因为实现一个代理服务器需要实现很多协议，头大，而且现在市面上有很多现成的代理服务器用，性能又好，直接用不好吗？而是用C#来实现客户端通过一个代理服务器进行Socket5的通讯，这个简单点，一般来说用Socket5就好了，Socket4现在也逐渐淘汰，基本上代理服务器都支持Socket5。

首先我们要了解下Socket5的代理协议是基于TCP协议之上的，从Socket4扩展上来的，用于提供给其他协议例如HTTP、FTP所作用的一套防火墙协议。(这里做点小解释，实际上应该是SOCKS V5协议，但是目前网上都用Socket5这样称呼，目前本文也暂时这样称） 然后下面简单的说下该协议的内容，具体分为两部分：

一部分是基于TCP协议的客户

当一个基于TCP协议的客户端希望与一个只能通过防火墙可以到达的目标(这是由实现所决定的)建立连接，它必须先建立一个与SOCKS服务器上SOCKS 端口的TCP连接。通常这个TCP端口是1080。当连接建立后，客户端进入协议的“握手(negotiation)”过程：认证方式的选择，根据选中的方式进行认证，然后发送转发的要求。SOCKS服务器检查这个要求，根据结果，或建立合适的连接，或拒绝。是不是有点像FTP？差不多。

握手的过程：

客户端连到服务器后，然后就发送请求来协商版本和认证方法： VERNMETHODSMETHODS111 to 255 这个版本的SOCKS协议中，VER字段被设置成X'05'。NMETHODS字段包含了在METHODS字段中出现的方法标示的数目（以字节为单位）。简化就是像服务器发送05 01 00

服务器从这些给定的方法中选择一个并发送一个方法选中的消息回客户端： VERMETHOD11如果选中的消息是X’FF’，这表示客户端所列出的方法列表中没有一个方法被选中，客户端必须关闭连接。

这里我们关注的是 X’00’ 不需要认证和X’02’ 用户名/密码，简化是服务器会返回的前两个字节

会是05 00或者05 02，02的时候进行验证。

验证过程结束后，客户端就发送详细的请求信息。如果协商的方法中有以完整性检查和/或安全性为目的的封装，这些请求必须按照该方法所定义的方式进行封装。

握手完成之后，要进行一个请求连接，这个就是对远程服务器的连接，我们知道当前既然连接的是代理服务器，我们实际上发送数据的对象并不是它，也就是我们要告诉代理服务器去连接真实的某某，现在就是在做这一步了。

SOCKS请求的格式如下： VERCMDRSVATYPDSTADDRDSTPROT11X’00’1Variable2其中

· VER 协议版本: X’05’

· CMD

· CONNECT：X’01’

· BIND：X’02’

· UDP ASSOCIATE：X’03’

· RSV 保留

· ATYP 后面的地址类型

· IPV4：X’01’

· 域名：X’03’

· IPV6：X’04’'

· DSTADDR 目的地址

· DSTPORT 以网络字节顺序出现的端口号

SOCKS服务器会根据源地址和目的地址来分析请求，然后根据请求类型返回一个或多个应答。

ATYP字段中描述了地址字段(DSTADDR，BNDADDR)所包含的地址类型：

· X'01'

基于IPV4的IP地址，4个字节长

· X'03'

基于域名的地址，地址字段中的第一字节是以字节为单位的该域名的长度，没有结尾的NUL字节。

· X'04'

基于IPV6的IP地址，16个字节长。

Variable表示该域的长度是可变的。

以最常用的IP表示法为例，加入我们的代理服务器地址是10101254，现在我们要通过代理服务器访问19216812这个IP地址，这里不要看做局域网地址，因为是通过代理进行访问的，

前期传递了IP对象IPEndPoint destIP;

byte [] data = new byte[10];

data[0]=5;data[1]=1;data[2]=0;data[3]=1;//前4个字节

ArrayCopy(destIPAddressGetAddressBytes(), 0, data, 4, 4); //IP地址

ArrayCopy(BitConverterGetBytes(

IPAddressHostToNetworkOrder(destIPPort)), 2, data, 8, 2); //端口号

这个data就是要发送的请求了

代理服务器这边会根据请求，以如下格式返回： VERREPRSVATYPBNDADDRBNDPORT11X’00’1Variable2其中：

· VER 协议版本: X’05’

· REP 应答字段:

· X’00’ 成功

· X’01’ 普通的SOCKS服务器请求失败

· X’02’ 现有的规则不允许的连接

· X’03’ 网络不可达

· X’04’ 主机不可达

· X’05’ 连接被拒

· X’06’ TTL超时

· X’07’ 不支持的命令

· X’08’ 不支持的地址类型

· X’09’ – X’FF’ 未定义

· RSV 保留

· ATYP 后面的地址类型

· IPV4：X’01’

· 域名：X’03’

· IPV6：X’04’

· BNDADDR 服务器绑定的地址

· BNDPORT 以网络字节顺序表示的服务器绑定的段口

标识为RSV的字段必须设为X’00’。返回的信息里面都看到，最重要是第二个域，如果为0，就表示成功，这第二个域对于接收到bytes来说是第1个字节，及data[1]

如果选中的方法中有以完整性检查和/或安全性为目的的封装，这些应答必须按照该方法所定义的方式进行封装。完成这步请求就完成了Socket5整个TCP客户端的连接了，剩下的工作，你就如正常的连接一下向代理服务器发送数据，简单来说这时候你就把代理服务器看成远程你要连接的对象就行了，代理服务器此时就是个透明的网络连接。至于整个C#示例，可以到我的空间下载，这个是博客园文件下载链接。 对于UDP的客户端连接，这里给出协议规范，可以自行进行实验。

在UDP ASSOCIATE应答中由BNDPORT指明了服务器所使用的UDP端口，一个基于UDP协议的客户必须发送数据报至UDP转发服务器的该端口上。如果协商的认证方法中有以完整性、认证和/或安全性为目的的封装，这些数据报必须按照该方法所定义的方式进行封装。每个UDP数据报都有一个UDP请求头在其首部： RSVFRAGATYPDSTADDRDSTPORTDATA211Variable2Variable在UDP请求头中的字段是：· RSV 保留 X’0000’

· FRAG 当前的分段号

· ATYP 后面的地址类型

· IPV4：X’01’

· 域名：X’03’

· IPV6：X’04’

· DSTADDR 目的地址

· DSTPORT 以网络字节顺序出现的端口号

· DATA 用户数据

当一个UDP转发服务器转发一个UDP数据报时，不会发送任何通知给客户端；同样，它也将丢弃任何它不能发至远端主机的数据报。当UDP转发服务器从远端服务器收到一个应答的数据报时，必须加上上述UDP请求头，并对数据报进行封装。

UDP转发服务器必须从SOCKS服务器得到期望的客户端IP地址，并将数据报发送到UDP ASSOCIATE应答中给定的端口号。如果数据报从任何IP地址到来，而该IP地址与该特定连接中指定的IP地址不同，那么该数据报会被丢弃。

FRAG字段指明数据报是否是一些分片中的一片。如果SOCKS服务器要实现这个功能，X’00’指明数据报是独立的；其他则越大越是数据报的尾端。介于 1到127之间的值说明了该分片在分片序列里的位置。每个接收者都为这些分片提供一个重组队列和一个重组的计时器。这个重组队列必须在重组计时器超时后重新初始化，并丢弃相应的数据报。或者当一个新到达的数据报有一个比当前在处理的数据报序列中最大的FRAG值要小时，也必须重新初始化从组队列。重组计时器必须小于5秒。只要有可能，应用程序最好不要使用分片。

分片的实现是可选的；如果某实现不支持分片，所有FRAG字段不为0的数据报都必须被丢弃。

一个SOCKS的UDP编程界面(The programming interface for a SOCKS-aware UDP)必须报告当前可用UDP数据报缓存空间小于操作系统提供的实际空间。

· 如果 ATYP是 X’01’ - 10+method_dependent octets smaller

· 如果 ATYP是X’03’ - 262+method_dependent octets smaller

· 如果 ATYP是X’04’ - 20+method_dependent octets smaller

参考网址： http://wwwcnblogscom/zhujiechang/archive/2008/10/21/1316308html

以VB为例，在udpWinSock_DataArrival事件中，输入下面的代码，即可获取客户端IP,发送消息给客服端。，如果是客户端，需要把该IP地址转发给服务器。

Private Sub udpWinSock_DataArrival(ByVal bytesTotal As Long)

Dim strData As String

Dim Strs As String

udpWinSockGetData strData, vbString '接收到客户端信息

udpWinSockRemoteHost = udpWinSockRemoteHostIP '获取客服端的IP，并将要对话的客服端ip设置为此IP

'立即发送文本给客户端

Strs = “已接收成功您的信息：" & strData

udpWinSockSendData Strs '发送回复信息给当前客户端

End Sub

简单的例子供参考 。望采纳

class Program

{

static void Main(string[] args)

{

IPEndPoint iep = new IPEndPoint(IPAddressParse("127001"), 8000);

UdpClient udpClient = new UdpClient("127001",8000);

udpClientConnect(iep);

Thread th = new Thread(send);

thIsBackground = true;

thStart(udpClient);

ConsoleReadKey();

}

private static void send(object udpClient)

{

ThreadSleep(1000);

UdpClient client = (UdpClient)udpClient;

string logStr = "系统异常，连接数据失败";

byte[] buffer = EncodingUTF8GetBytes( logStr);

clientSend(buffer, bufferLength);

}

}

服务端

class Program

{

static void Main(string[] args)

{

UdpClient udpServer= new UdpClient(8000);

IPEndPoint RemoteIpEndPoint = new IPEndPoint(IPAddressAny, 0);

while(true)

{

byte[] buffer = udpServerReceive(ref RemoteIpEndPoint);

string text = EncodingUTF8GetString(buffer);

insert(text) //存库或做其它处理

ConsoleWriteLine(text);//打印

}

}

}