端口映射失败的故障分析和解决方法

在多年的IT运维生涯中，端口映射是每次调试路由器和防火墙都必备的配置，算是比较简单的工作内容了。

但是，直到现在，还是经常碰到端口映射失败来求助的，今天就带大家来看两个经典的案例。

案例一、华为防火墙，端口映射故障

客户反应，防火墙上明明已经配置好了，而且检测通过，但是实际上任何端口都没有真正映射成功，外部用户根本无法连接内部服务器上的相关服务。

好家伙，一个页面都没放得下，这么多端口，就没一个映射出去的，也是没谁了。

仔细看了一下配置，除了有个勾选项一定要帮他去除以外，其他的配置都是正确的，并没有错误的地方。

“允许服务器使用公网地址上网”为什么千万不能勾选？因为此处优先级非常高，他会搞乱你本身规划好的出路径，我踩过的坑，各位就不要再踩一遍了。

但是，即使此处勾选上了，也不会影响端口映射本身，所以说，端口映射的失败，并非端口映射本身的配置错误，而是另有原因。

不卖关子了，防火墙不同于路由器，做完端口映射之后，还必须配置相应的安全策略放行才行。

在华为防火墙新版本的软件系统中，每次配完端口映射，系统会提醒你，是否自动生成相应 的安全，如果你选是，基本上略有作修改，相应的安全策略立刻就能生效了。而老版本的防火墙，并不会有此提示，所以还得咱们自己配置。

仔细看了一遍客户需要映射的端口，别看一个页面都放不下，其实也就三四台服务器的端口要做映射，这样的话，显然不用每个端口映射都去新建一条安全策略了，不单是做起来累，还加重了防火墙系统的负担。

所以，此处应该是用一条安全策略来对应一台服务器所有的端口映射。

多个端口，也就是多个服务，所以在新建安全策略的时候，需要在“服务”那一项里面“新建自定义服务”；注意，源端口一般不能指定，因为我们的电脑在发起服务访问的时候，一般都是任意端口发起的，然后目的端口是固定的，哪个服务就对应哪个端口；

因为是一条安全策略对应一台服务器的多个端口，所以此处将添加这台服务器上所有需要映射出去的端口，注意区别TCP和UDP类型，搞错了是不可能成功的。

配置完成后，注意把安全策略的位置调整到合理的地方，只能放在冲突策略的上面，不然是不可能被执行到的。

案例二、爱快路由器，远程桌面端口无法映射

其他服务端口都正常映射出去了，只有远程桌面的端口（3389）无法映射成功，虽然我非常不建议把3389直接映射出去，但是真遇到问题，还是得帮客户分析一下的。

当我远程登录爱快路由器、打开“端口映射”的时候，我似乎发现了新大陆，原来端口映射还可以这样配置？

难怪映射不出去啊，4台服务器挤在一个3389端口，出得去才是奇怪的事情。

内部端口不用动，把外部端口改成4个不一样的，问题马上就解决了，但是为了安全起见，还是帮客户限定了有权远程桌面的外部IP，因为平时是通过部署在互联网上的堡垒机来远程维护服务器，所以可以、也应该限定登录IP。

但是如果没有堡垒机，你又想在任意地点以远程桌面的方式登录服务器，那就没办法了，不能限定IP，就没那么安全了，建议使用第三方的远程控制软件，比如说向日葵、ToDesk等等。