Windows 上路由、端口转发配置

一、背景

有时候我们会遇到这样的场景，一批同一局域网中只有某一台主机带外且系统为windows，局域网中其他非带外的主机要想访问外网，本文将介绍如何配置在带外主机上开启路由及端口转发。

二、配置操作

2.1、带外主机开启路由转发

1）管理员运行cmd，然后执行reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v IPEnableRouter /D 1 /f

或者打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRoute，将其值修改为1，默认为0：

2）完成后，启动Routing服务：将 Routing and Remote Access 服务的启动类型更改为自动并启动服务，如下所示：

或者执行命令：sc config RemoteAccess start= auto和sc start RemoteAccess
3）其他非带外主机添加路由指向—带外主机，添加静态路由：

Route add 外网_IP mask 255.255.255.0 带外_IP

完成之后，ping测试。

2.2、配置端口转发

1）配置9000端口转发到其他服务器的9000上

cmd执行：
netsh interface portproxy add v4tov4 listenport=9000 connectaddress=192.169.1.200 connectport=9000 listenaddress=* protocol=tcp //将任意的9000转发到内网的200主机9000端口，也可指定listenaddress=113.107.161.30，将外网30的9000转发到200的9000，转发是双向的。

要想删除执行：
netsh interface portproxy delete v4tov4 listenport=443 listenaddress=* protocol=tcp
要想重置执行：netsh interface portproxy reset

2）验证端口转发规则：
C:>netsh interface portproxy show all

或netsh interface portproxy show v4tov4

2.3、图形化添加路由功能

1）打开系统的“服务管理器”，点击“管理”—“添加角色和功能”。

2）在“服务器角色”选项中，勾选“远程访问”；在“角色服务”中，勾选“路由”。

等待安装完成即可。

3）配置并启用路由和远程访问

1》在服务管理器的“工具”菜单里，点击“路由和远程访问”。

2》在“路由和远程访问”界面，右键点击本地服务器，选择“配置并启用路由和远程访问”。

3》下一步，选择“自定义配置”，然后点击“下一步”。

4》选中“NAT”, 点击“下一步”。

5》完成后，在自动弹出的界面点击“启动服务”。

6》在IPv4节点的“NAT”选项中右键点击，选择“新增接口”，如下图所示。

7》选中蒲公英生成的虚拟网卡，然后点击“确定”。

关于上述蒲公英生成的虚拟接口，这里是借助于蒲公英软件的旁路转发功能实现在Windows Server系统的NAT转发，只需在server主机上安装蒲公英服务器端客户端，并配置相关的路由转发功能。

如果不用蒲公英软件，这里可配置你的内网接口，选中内网网络适配器，然后配置NAT转化：接口类型为：专用接口连接到专用网络。

然后再配置外网接口，按步骤8中配置；然后打开【服务和端口】，配置内网转发到公网：

8》在网络地址转换属性，选中“公用接口连接到Internet”，并勾选“在此接口上启用NAT”再点击确定。

到此，Windows Server系统的路由转发功能就开启了，接着在蒲公英管理平台设置旁路转发即可。

三、应用案例（转载）

1）目标需求：

其中，Router1连接研发部网络和市场部网络，Router2连接市场部网络和销售部网络，NATServer服务器连接销售部和Internet，公网IP地址是23.23.2.2，WebServer位于销售部网络，是企业的Web站点。实现内网三个网段相互完全访问；研发部不允许访问Internet，市场部和销售部允许访问Internet；允许Internet用户访问WebServer；能够在Internet使用终端服务管理WebServer。

2）实现过程：

●Router1上安装和配置路由和远程访问

3）配置过程：

1>route1 2个网口配置：

研发部配置：

市场部配置：

安装路由功能：

点击“完成”，在出现的启动服务对话框，点击“启动服务”。

就可以看到对于路由器直接连接的网段，对于没有直连的需手动添加静态路由，右击“静态路由”，点击“新建静态路由”。

2> 在Router2上安装和配置路由和远程访问

3> 在NATServer上安装和配置路由和NAT

配置连接Internet的TCP/IP属性，输入公网IP地址和默认网关。提示：添加了默认网关就等于添加了默认路由。

销售部网络属性，输入IP地址和网关，注意：不输入默认网关。

安装路由和远程访问服务角色，完成后，打开“管理工具”---->“路由和远程访问”。

4 >在zhangPC上测试到内网和Internet的连接

此时，在NATServer上就可以查看到地址转换：

在NATServer上设置数据包筛选器，禁止研发部网络访问互联网：

在NATServer配置端口映射：Web站点端口映射+远程桌面的端口映射；修改内网服务器WebServer的IP地址。

打开远程连接：

NAT服务器上配置公网策略：

输入webserver的地址和端口：

选中刚才创建的WebServerRDP服务，点击“确定”。

5> 在wangPC上测试端口映射