做了一个网站，局域网能访问了，怎样让外网访问？

做了一个网站，局域网能访问了，要让外网也可以访问，可以参考以下操作来解决问题：

1、先了解一下什么是动态域名解析和内网映射。接下来的操作与其相关；

动态域名解析：用域名代替本地动态公网IP。用于解决动态公网IP和实时获取本地最新公网IP。一般用于动态公网IP环境搭建应用和发布网站外网访问。

内网映射：可以将内网应用映射外网访问。

2、公网环境之nat123动态域名解析的使用。通过客户端或HTTP调用实现动态解析获得本地最新公网IP。

3、公网环境之dnspod动态解析。类似方法使用，可以通过客户端或API调用实现。

4、内网环境之nat123映射使用。对于内网和端口受限制等复杂网络环境，利用映射工具将内网地址映射外网访问。映射类型有：80映射、HTTPS映射、全端口穿透不限速（包括支持UDP/P2P）。映射后，使用映射后的外网地址即可访问。

5、还有一个国外的应用哈蟆吃也是一个P2P工具。可以搭建一个虚拟局域网，常用于游戏联机什么的。如果以上方法都不能解决问题，建议请专业的工作人员上门帮忙配置。

FTP服务器如果是主动模式，在传输数据时，服务器会使用21号端口主动与client发起连接，即使有防火墙，端口映射等，是可以成功的，如果是FTP采用被动模式，那么client采用随机端口去访问服务器的随机端口，如果这时候你使用端口映射技术是行不通的，所以说现在的企业级路由器或者防火墙都专门针对ftp这个服务有单独的配置入口。

所以说你在配合路由器的时候关键是理论学习要扎实，而不是一味的问别人如何解决，如果连这种最基本的理论你都难以理解，你最好放弃这行，直接请专业人员上门调试更靠得住。

这个之前做过，很简单，做端口的映射就可以了。

18|消息发送协议

19|字符发生器

20|FTP文件传输协议(默认数据口)

21|FTP文件传输协议(控制)

22|SSH远程登录协议

23|telnet(终端仿真协议),木马Tiny Telnet Server开放此端口

24|预留给个人用邮件系统

现在对局域网上网用户限制比较多，比如不能上一些网站，不能玩某些游戏，不能上MSN，端口限制等等，一般就是通过代理服务器上的软件进行限制，如现在谈的最多的ISA Server 2004，或者是通过硬件防火墙进行过滤。下面谈谈如何突破限制，需要分限制情况进行说明：

一、单纯的限制某些网站，不能访问，网络游戏（比如联众）不能玩，这类限制一般是限制了欲访问的IP地址。

对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。

二、限制了某些协议，如不能FTP了等情况，还有就是限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理。

这种情况可以用SOCKS代理，配合Sockscap32软件，把软件加到SOCKSCAP32里，通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏，可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了，那可以用socks2http了，不会连HTTP也限制了吧。

三、基于包过滤的限制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。

这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。

四、基于端口的限制，限制了某些端口，最极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。

这种限制可以通过以下办法突破：

1、找普通HTTP80端口的代理，12345678:80，象这样的，配合socks2http，把HTTP代理装换成SOCKS代理，然后再配合SocksCap32，就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。

2、用类似FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。

五、以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN，还有限制端口的情况。

一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。

六、还有一种情况就是你根本就不能上网，没给你上网的权限或者IP，或者做IP与MAC地址绑定了。

两个办法：

1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口。。其他能够支持这种方式代 理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP， 给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。

在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K， 本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE，测试上网通过，速度很快，而且传输数据还是加密的，非常棒。

2、和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是你不要给网络管理员带来麻烦，不要影响局域网的正常运转。这可是最好的办法了。

七、在局域网穿透防火墙就是用HTTPTUNNEL，用这个软件需要服务端做配合，要运行httptunnel的服务端，这种方法对局域网端口限制很有效。

隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。这类技术现在有些软件可以做到，HACKER经常用到这类技术。

HTTPTunnel，Tunnel这个英文单词的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点， 就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包 括两个程序，htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是1921681231，我本地的机器的IP是1921681226，现在我本地因为防火墙的原因无法连接到 FTP上，现在用HTTPTunnel的过程如下：

第一步：在我的机器上（1921681226）启动HTTPTunnel客户端。

启动MS-DOS的命令行方式，然后执行htc -F 8888 1921681231:80命令，其中htc是客户端程序，-f参数表示将来自1921681231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。

然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。

第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令

“hts -f localhost:21 80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。

第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了。

可是，人家看到的怎么是127001而不是1921681231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控 制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。

需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口 在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻！

根据路由器A wan地址19216812推断，此路由器上端还有另一个路由器B，LAN地址19216811，如果路由器B的Wan地址是公网地址xxxx，还需要在路由器B上开启DMZ指向19216812，或者端口映射xxxx:21--19216812:21。然后外网访问时输入ftp://xxxx即可指向19216812，路由器A会再指向192168100110完成访问。

笔记本连接手机热点访问ftp：//19216812：21访问不了需要确认手机网络位置。可以先运行ping命令检测下是否能到达19216812这个地址。只有处于1921681000和19216810网络的终端才可以通过ftp://19216812:21访问到ftp服务器192168100110

另外建议使用和dmz主机不在同一局域网的pc测试公网ip端口是否开放。例手机开启4G，和热点，笔本连接手机热点，然后win+r，输入cmd进入命令行，输入命令 telnet xxxx 21 回车。xxxx是你的公网地址。若笔记本没开启telnet功能，请到控制面板，添加卸载应用程序，左侧添加windows功能，找到telnet客户端，前面打勾。之后在测试21端口。

有免费版

网云穿内网穿透也有免费的跟收费的，关键看使用者的需求是怎样的，因为免费的带宽跟速度如果用于一些应用比较大的场景可能不够。

花生壳可以将内网IP映射生成一个公网IP，即通过云服务器与内网服务器建立连接，把内网端口映射到云端。

花生壳国内较早一批动态域名解析及内网穿透服务商。

已自主研发花生壳软件以及花生棒、花生壳盒子等硬件。即使没有公网IP，也可以实现内网穿透服务。

支持Windows、Linux、树莓派、iOS等操作系统，并可通过iPhone、安卓手机APP或微信进行远程管理。花生壳被广泛应用于微信公众号、小程序 、HTTPS映射、淘宝客采集系统、视频监控 、遥感测绘、FTP 、企业OA等应用领域。

-花生壳

您的配置行吗。

步骤1：打开/修改电脑相关服务功能

1点击‘开始’，打开‘控制面板’。

2打开‘程序’。

3打开‘程序和功能’下的‘打开或关闭Windows功能’。

4将‘Internet信息服务’下所有选项全勾上，然后点击‘确定’。稍等一会儿便可完成修改。

步骤2：建立本地网站

1待修改完成后，转到‘控制面板’页面，将‘查看方式类别’改为‘小图标’或‘大图标’（以便找到‘管理工具’）。

2打开‘管理工具’。

3打开‘Internet信息服务（IIS）管理器’。

4将左边栏目扩展开。

5右键点击‘网络’，然后打开‘添加网站’。

6a填写‘网站名称’；b通过‘选择’将‘应用程序池’设为‘DefaultAppPool’;c选择‘物理路径’（也就是你服务器的根目录）；其它不用管，最后点击确定。服务器就建好了。

步骤3：测试服务器是否已建立好

1添加文件或文档在所选的物理路径下。

2点击如图中的‘浏览：80（http）’

3或在浏览器输入网址处输入‘127001’，回车。

4再或输入‘localhost’,回车。均可看到我所添加的文档，这下本地服务器建立成功。

5到此，你是不是在想：‘这不是我认为的服务器啊！服务器不是应该能被手机或别的电脑访问到吗？’是的，你说得对。如果你想要实现这个吸引你的功能，可参考我的另一篇经验——《怎样让手机、其他电脑访问你创建的本地服务器？》

Liux系统下有好几款很不错的ftp服务，各有特点，适应于不同的应用场合。一般在各种Linux的发行版中，默认带有的ftp软件是vsftp，本文是针对CentOs7系统下搭建vsftpd服务为例。

1 首先确定系统中已经安装了vsftpd软件，查看命令：

rpm -q vsftpd

rpm -qa |grep vsftpd

2 安装vsftpd(以yum安装为例)

yum install -y vsftpd

3关闭selinux和iptables(也可配置防火墙相关访问策略，反之系统阻断)，设置vsftpd开机自启

永久关闭selinux

vi /etc/sysconfig/selinux

将配置SELinux=enforcing改为SELinux=disabled

保存退出并重启服务器

验证是否关闭命令：getenforce

关闭防火墙

centos 7 操作命令：systemctl stop firewalldservice

centos 6 操作命令：service stop iptables

设置vsftpd开机自启

centos 7 操作命令：systemctl enable vsftpdservice

centos 6 操作命令：chkconfig vsftpd on

4vsftpd的配置

ftpusers 该文件用来指定哪些用户不能访问ftp服务器。

user_list 该文件用来指定的默认账户在默认情况下也不能访问ftp服务器。

vsftpdconf vsftpd的主要配置文件，路径：

/etc/vsftpd/vsftpdconf

# vsftpdconf的配置

# 是否允许匿名登录

anonymous_enable=NO

# 是否允许本地用户登录

local_enable=YES

# 是否允许本地用户对FTP服务器文件具有写权限

write_enable=YES

# 本地用户主目录

local_root=/var/ftp

# 匿名用户主目录

anon_root=/var/ftp/pub

# 是否允许匿名用户上传文件，如允许，须将全局的

write_enable=YES

anon_upload_enable=YES

# 是否允许匿名用户创建新文件夹

anon_mkdir_write_enable=YES

# 容许匿名用户除了新建和上传外的其他权限

anon_other_write_enable=YES

# 本地用户掩码

local_umask=022

# 设置匿名登入者新增或上传档案时的umask值

anon_umask=022

# 是否激活目录欢迎信息功能

dirmessage_enable=YES

xferlog_enable=YES

# 主动模式数据传输20端口

connect_from_port_20=NO

xferlog_std_format=YES

# 是否监听ipv4

listen=YES

# listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

# 是否设置被动模式

pasv_enable=YES

# 被动模式传输使用端口

pasv_min_port=20020

pasv_max_port=20020

# 被动模式返回给客户端的ip地址(服务器内网穿透时使用)

pasv_address=0000( 服务器外网ip )

# 设置用户访问目录，默认只允许用户自己的ftp目录

# 需要同时设置allow_writeable_chroot，允许受限用户的写权限，不然会报错

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

allow_writeable_chroot=YES

5创建例外用户文件

#哪怕没有例外用户也必须创建

vim /etc/vsftpd/chroot_list

只想让指定账户不限制在其主目录，其它账户都限制在主目录。

对于chroot_local_user与chroot_list_enable的组合效果，可以参考下表：

6 创建ftp新用户

#新增一个test(用户名)，并指定上传目录在/home/ftp/test下

useradd -g root -d /home/ftp/test -s /sbin/nologin test

# 如果后期想变更此用户的上传到（/XXX/ftp/test），请使用下面的命令：

usermod -d /XXX/ftp/test test

# 设置用户密码

passwd test

因为安全问题，vaftpd不允许匿名用户在ftp主目录上传，可以新建一个子目录，设置权限为777

7 关于local_umask和anon_umask掩码

掩码决定了上传文件的权限，掩码为022代表上传后的文件权限为

666-022=644 -> rw-r--r--

掩码即为要去除的权限为，默认设为033即可。

8 启动vsftp服务

#centos7 操作命令

启动: systemctl start vsftpdservice

停止: systemctl stop vsftpdservice

重启: systemctl restart vsftpdservice

查看状态: systemctl status vsftpdservice

#centos6 操作命令

启动: service vsftpd start

停止: service vsftpd stop

重启: service vsftpd restart

查看状态: service vsftpd status