端口映射、正反向连接及远程控制

1、共享上网通过带双网卡的主机共享因特网外网网卡，外部IP地址Switch/HUB内网计算机A:IP:MASK:DG:DNS:C:IP:MASK:DG:DNS:B:IP:MASK:DG:DNS:相当于相当于防火墙防火墙内网网卡：共享上网通过宽带路由器共享因特网WAN口：外网网卡，外部IP地址宽带路由器内网

2、计算机A:IP:MASK:DG:DNS:C:IP:MASK:DG:DNS:B:IP:MASK:DG:DNS:相当于相当于防火墙防火墙LAN口：0102110801081108265535010211080108110826553502110801081808065535客厅，对外的大门地址为外客厅，对

3、外的大门地址为外部地址部地址IPw，客厅也有内部，客厅也有内部地址。客厅相当于路由器连地址。客厅相当于路由器连接外部和内部。人员默认只接外部和内部。人员默认只能进到客厅，不能进各房间能进到客厅，不能进各房间人人员员主主卧卧,IPA0102110801081108265535次次卧，卧， IPB客客房房,IPC各房间各房间均为内均为内部地址部地址三房一厅三房一厅将从客厅不同将从客厅不同窗户进入的人窗户进入的人员引导到某个员引导到某个房间并从其某房间并从其某个窗户进入个窗户进入端口映射及其应用端口映射(port mapping)或转发(forward)主机或路由器默认能自动转发由内网发往外网的请求

4、数据。当外网用户需要访问内网计算机（服务器时），默认只能访问到外部IP地址，不能访问到内网计算机。因为共享主机和宽带路由器不会转发外网请求数据到内网。通过端口映射或转发，主机或路由器将外网发往主机或路由器某个端口的请求转发至内网某台计算机的某个端口。0102110801081108265535内网计算机B：IPb，WEB：80端口端口:可以任意选取，可以任意选取，但注意不得冲突但注意不得冲突A：IPa，FTP：2121WEB：8080C：IPcFTP：21共享主机或宽带路由器，共享主机或宽带路由器，其外网其外网IP为为IPwFTP:/IPw:1021外网用户使用外网用户使用IE的访问方式的访问

5、方式HTTP:/IPw:1080FTP:/IPw:1082HTTP:/IPw:1081Internet外网用户外网用户例例1例2某单位有若干台被控机床设备，远程电脑可以通过因特网对其进行远程控制和状态查询。通过端口映射则只需一条宽带线路和一个宽带账号即可实现外网电脑对内网所有设备的控制，无需为每台设备申请各自的宽带线路，以节省开支。内网用户BT下载、P2P网络电视与端口映射内网计算机可以连接外网计算机，但是外网计算机在默认情况下不能连接内网计算机，使得内网计算机下载速度慢。解决办法： 在路由器或主机上进行端口映射，将BT等软件使用的端口从外部映射至内部电脑。 开启路由器的UPNP功能，内网电脑

6、也需启用UPNP。这时无需进行端口映射。端口映射注意事项路由器分为两种： 一种为可以设置外部端口、内部IP，也可设置内部端口。转发时将外部端口数据转发至指定IP的内网设备的内部端口，外部端口和内部端口可以相同也可以不同； 另一种为只能设置外部端口、内部IP，但不能设置内部端口，这时内部端口与外部端口一定相同。转发时将外部端口数据转发至指定IP的内网设备与外部端口相同的内部端口。对上述前者路由器端口映射设置较为方便，多个内网设备可以使用相同的（默认或非默认）端口，无需修改默认端口，通过设置不同的外部端口来访问内部不同的设备。当然也可以将内部设备设为不同端口，甚至使用不同的外部端口和内部端口进行映

7、射。对上述后者路由器端口映射设置略麻烦些，内网设备不能使用相同的（默认或非默认）端口，内网设备中只有一台可以使用默认端口，其它内网设备则需修改默认端口。映射时外部端口与内部端口一定相同。通过不同的外部端口映射至相应的内部设备。连接类型(正/反向连接)和相应远程控制软件远程控制由控制(客户)端和被控(服务)端组成。正向连接 被控端打开端口等待控制端发起连接，由控制端主动发起连接，例如： 远程桌面，Remote Administrator，Remote Anything等 z2 R2PC反向（反弹）连接 控制端打开端口等待被控端发起连接，由被控端主动发起连接，例如 z2 R2PC 灰鸽子等远程管理

8、员和Windows自带的远程桌面这个远程控制软件只支持正向连接，而z2 R2PC既支持正向连接也支持反向连接正向连接被控被控(服务服务)端端控制控制(客户客户)端端被控端打开被控端打开端口等待控端口等待控制端主动发制端主动发起的连接起的连接若控制端已若控制端已知被控端的知被控端的域名或域名或IP地地址，控制端址，控制端可发起连接可发起连接连接由控制连接由控制端主动发起端主动发起分四种情况：控制端 被控端 外网 外网 内网 外网 外网 内网 内网 内网正向连接1：外网-外网控制端和被控控制端和被控端均在外网，端均在外网，可以建立连接可以建立连接正向连接2：内网-外网控制端在内网，被控端在外网。控

9、制控制端在内网，被控端在外网。控制端主动发起的传出连接默认可通过控端主动发起的传出连接默认可通过控制端网关的防火墙，可建立连接制端网关的防火墙，可建立连接正向连接2：外网-内网控制端在外网控制端在外网 ，被控端在内网。控制端主动发起的，被控端在内网。控制端主动发起的连接可能会被被控端网关的防火墙对传入连接予以连接可能会被被控端网关的防火墙对传入连接予以拦截而不能与被控端建立连接。若被控端网关处可拦截而不能与被控端建立连接。若被控端网关处可进行端口映射，则可建立连接，否则不能建立连接进行端口映射，则可建立连接，否则不能建立连接正向连接4：内网-内网被控端和控制端均在在内网，控制端主动发起的被控端

10、和控制端均在在内网，控制端主动发起的传出连接可通过被控端的防火墙，也只是可能与传出连接可通过被控端的防火墙，也只是可能与被控端建立连接。若被控端网关处可进行端口映被控端建立连接。若被控端网关处可进行端口映射，则可建立连接，否则不能建立连接射，则可建立连接，否则不能建立连接反向连接被控被控(服务服务)端端控制控制(客户客户)端端可在被控端预先设置控制端可在被控端预先设置控制端的域名或的域名或IP地址，由被控端地址，由被控端主动向控制端发起连接主动向控制端发起连接控制端打开控制端打开端口等待被端口等待被控端主动发控端主动发起的连接起的连接连接由被控连接由被控端主动发起端主动发起也分四种情况：控制端

11、 被控端 外网 外网 内网 外网 外网 内网 内网 内网反向连接1：外网-外网控制端和被控控制端和被控端均在外网，端均在外网，可建立连接可建立连接反向连接2：内网-外网控制端在内网，被控端在外网。被控端主动向控制端发控制端在内网，被控端在外网。被控端主动向控制端发起连接，连接可能会被控制端网关处的防火墙对传入连起连接，连接可能会被控制端网关处的防火墙对传入连接予以拦截而不能建立连接。若控制端网关处能进行端接予以拦截而不能建立连接。若控制端网关处能进行端口映射，连接可以建立，否则不能建立连接口映射，连接可以建立，否则不能建立连接反向连接3：外网-内网被控端在内网，被控端主动发起的传被控端在内网，

12、被控端主动发起的传出连接默认可通过被控端的防火墙，出连接默认可通过被控端的防火墙，可以与控制端建立连接可以与控制端建立连接反向连接4：内网-内网被控端和控制端均在在内网，被控端主动发起的被控端和控制端均在在内网，被控端主动发起的传出连接默认可通过被控端网关的防火墙，也只传出连接默认可通过被控端网关的防火墙，也只是可能与控制端建立连接。若控制端网关处可进是可能与控制端建立连接。若控制端网关处可进行端口映射，则可建立连接，否则不能建立连接行端口映射，则可建立连接，否则不能建立连接总结控制端被控端端口映射外网外网无需内网外网正向连接不需。反向连接在控制端网关处需要外网内网反向连接不需。正向连接在被控

13、端网关处需要内网内网正向连接在被控端网关处需要。反向连接在控制端网关处需要正向连接的优缺点：优点：被控端配置较简单、方便控制端在内网时无需在控制端网关处做端口映射缺点：需预先知道被控电脑的域名地址或IP地址。如果要想悄悄控制别人的被控电脑，不易基本上也不能在被控电脑上使用免费动态域名。可能被被控电脑上的Windows自带防火墙或第三方防火墙对传入连接予以拦截被控电脑若在内网，需要在被控电脑的网关处进行端口映射。若被控电脑用户无设置网关端口映射的权限则无法连接。反向连接的优缺点优点：无需知道被控端的IP被控电脑上的服务端程序容易穿透被控端上安装的防火墙被控电脑即使在内网，由其向外发出的主动传出连

14、接默认能自动通过路由器或网关防火墙。若控制端在内网，则需要在控制端的网关处做端口映射。很多情况下控制端用户使用自己的路由器可在网关处做端口映射。缺点：被控端设置较复杂。在被控端上须设置控制端的固定IP或免费动态域名。若被控端在内网，需要在被控端的网关处做端口映射。但个别情况下若控制端用户无法在网关处做端口映射，那也无法建立连接。实例：电信3G手机远程控制普通电脑远程桌面为Windows自带软件，被控端为普通电脑，控制端可以为普通电脑也可以是手机。第三方远程控制软件z2 R2PC控制端可以是普通电脑甚至WM手机，被控端是普通电脑。远程桌面只支持正向连接。R2PC既支持正向也支持反向连接。被控端为

15、普通PC，若在内网则需做端口映射。控制端为天翼3G手机多普达S900C，Windows Mobile6.1操作系统，自带远程桌面客户端程序。控制端手机使用电信CDMA2000 EVDO 3G网络，被控端电脑使用电信ADSL宽带上网。电信3G手机上网分ctwap和ctnet两个接入点。手机以ctwap接入点上网自动获取的IP为10开头的内部IP，而以ctnet接入点上网自动获取的IP则为120开头的IP。用途：远程监视/控制，上传/下载文件等。一、手机用Windows自带的远程桌面控制远程电脑被控端电脑上需进行以下设置： 启用远程被控电脑的远程桌面功能 设置防火墙对远程桌面服务端程序予以放行 如

16、果电脑登录操作系统时没有密码，为具有管理员权限的账号设置一个强口令，以免被他人盗用 被控电脑上可启用免费动态域名，这样不必去查询记忆被控电脑的当前IP。打开手机里WM6.1自带的远程桌面客户端软件，填上被控电脑的（免费）域名地址或者IP地址、系统账号和密码。 相关选项：色彩数和屏幕大小： 设备存储，为了能在手机和电脑间任意上传或下载文件，选择“映射到远程计算机” 声音选项，可选择是静音、在远程电脑上播放还是在手机上播放。 选项设置后连接上远程被控电脑，手机屏幕上显示被控电脑上的屏幕画面。 文件共享：在被控电脑上打开其资源管理器，可以看到手机文件夹已经在资源管理器里显示。此时即可利用拖动、复制/

17、剪切和粘贴等常规文件（夹）操作即可在手机和远程电脑间进行文件（夹）的上传和下载 如果自己有无线路由器，电脑和带WIFI的手机都连接到无线路由器，这时无需数据线即可在手机和电脑间传输文件Windows自带的远程桌面不能对远程被控电脑进行关机或重启操作，功能有限Windows自带的远程桌面软件要求控制端手机必须用ctnet接入点上网。这时得到的是120开头的外部IP，即上网手机直接暴露在因特网上。在被控电脑上查到的连接情况，说明手机的IP是外部IP，没有经过电信其它网关的NAT转换关于接入点以上实验，控制端手机以ctnet接入点上网，使用外部IP。若控制端手机改用ctwap接入点上网，这时手机自动

18、获取的是10开头的内部IP，访问IP地址为10开头的电信内网以外的其它计算机时因电信网关不支持远程桌面相关协议，故远程桌面无法使用。二、用z2 R2PC控制远程电脑Z2 R2PC被控端为普通电脑，控制端为普通电脑甚至手机，但都需相应软件才能使用。Z2 R2PC既支持正向连接也支持反向连接。优点： 被控电脑可以在内网，且在被控端网关处无法进行端口映射，但照样可以实现远程控制。 功能更加强大，如远程重启、关机等等。1.正向连接，比较简单打开手机上的客户端软件，只需填上被控电脑的域名或IP地址、端口号、用户名/密码，即可连接。2.反向连接需在被控电脑服务端程序上进行设置，填写反向连接时客户端手机的当前IP和端口号在手机上打开客户端软件，打钩选择反向连接正在等待被控端上线连接，可以看到手机当前外部IP和打开的端口被控电脑已经连接上线。可以看到被控电脑的计算机名及其外部IP控制连接后在手机上看到的被控电脑上的屏幕画面。顶排按钮说明该软件功能强大。如放大/缩小被控电脑画面、切换被控电脑窗口、在手机上横屏/竖屏显示、鼠标单击/双击、上传/下载、剪贴板内容双向共享传输、只监视/监