Windows 上路由、端口转发配置

一、背景

有时候我们会遇到这样的场景，一批同一局域网中只有某一台主机带外且系统为windows，局域网中其他非带外的主机多是Linux，他们想要访问外网或外网连入管理，又不想新增公网资产增加成本，基于此，本文将介绍如何配置在带外主机上开启路由及端口转发。

二、配置操作

2.1、带外主机开启路由转发

1）管理员运行cmd，然后执行reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v IPEnableRouter /D 1 /f

或者打开注册表，到HKEY_LOCAL_MACHIE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRoute，将其值修改为1，重启生效，默认为0：

2）完成后，启动Routing服务：将 Routing and Remote Access 服务的启动类型更改为自动并启动服务，如下所示：

或者执行命令：sc config RemoteAccess start= auto和sc start RemoteAccess

）其他非带外主机添加路由指向—带外主机，添加静态路由：

Route add 外网_IP mask 255.255.255.0 带外_IP

完成之后，ping测试。

2.2、配置端口转发

1）配置9000端口转发到其他服务器的9000上

cmd执行：
netsh interface portproxy add v4tov4 listenport=9000 connectaddress=192.169.1.200 connectport=9000 listenaddress=* protocol=tcp //将任意的9000转发到内网的200主机9000端口，也可指定listenaddress=11.107.161.0，将外网0的9000转发到200的9000，转发是双向的。

要想删除执行：

netsh interface portproxy delete v4tov4 listenport=44 listenaddress=* protocol=tcp

要想重置执行：netsh interface portproxy reset

2）验证端口转发规则：

C:\>netsh interface portproxy show all
或
netsh interface portproxy show v4tov4

2.、图形化添加路由功能

1）打开系统的“服务管理器”，点击“管理”—“添加角和功能”。

2）在“服务器角”选项中，勾选“远程访问”；在“角服务”中，勾选“路由”。

等待安装完成即可。

）配置并启用路由和远程访问

1》在服务管理器的“工具”菜单里，点击“路由和远程访问”。

2》在“路由和远程访问”界面，右键点击本地服务器，选择“配置并启用路由和远程访问”。

》下一步，选择“自定义配置”，然后点击“下一步”。

4》选中“AT”, 点击“下一步”。

5》完成后，在自动弹出的界面点击“启动服务”。

6》在IPv4节点的“AT”选项中右键点击，选择“新增接口”，如下图所示。

7》选中蒲公英生成的虚拟网卡，然后点击“确定”。

关于上述蒲公英生成的虚拟接口，这里是借助于蒲公英软件的旁路转发功能实现在Windows Server系统的AT转发，只需在server主机上安装蒲公英服务器端客户端，并配置相关的路由转发功能。

如果不用蒲公英软件，这里可配置你的内网接口，选中内网网络适配器，然后配置AT转化：接口类型为：专用接口连接到专用网络。

然后再配置外网接口，按步骤8中配置；然后打开【服务和端口】，配置内网转发到公网：

8》在网络地址转换属性，选中“公用接口连接到Internet”，并勾选“在此接口上启用AT”再点击确定。

到此，Windows Server系统的路由转发功能就开启了，接着在蒲公英管理平台设置旁路转发即可。

三、应用案例（转载）

1）目标需求：

其中，Router1连接研发部网络和市场部网络，Router2连接市场部网络和销售部网络，ATServer服务器连接销售部和Internet，公网IP地址是2.2.2.2，WebServer位于销售部网络，是企业的Web站点。实现内网三个网段相互完全访问；研发部不允许访问Internet，市场部和销售部允许访问Internet；允许Internet用户访问WebServer；能够在Internet使用终端服务管理WebServer。

2）实现过程：

●Router1上安装和配置路由和远程访问

）配置过程：

1>route1 2个网口配置：

研发部配置：

市场部配置：

安装路由功能：





点击“完成”，在出现的启动服务对话框，点击“启动服务”。

就可以看到对于路由器直接连接的网段，对于没有直连的需手动添加静态路由，右击“静态路由”，点击“新建静态路由”。

2> 在Router2上安装和配置路由和远程访问

> 在ATServer上安装和配置路由和AT

配置连接Internet的TCP/IP属性，输入公网IP地址和默认网关。提示：添加了默认网关就等于添加了默认路由。

销售部网络属性，输入IP地址和网关，注意：不输入默认网关。

安装路由和远程访问服务角，完成后，打开“管理工具”---->“路由和远程访问”。












4 >在zhangPC上测试到内网和Internet的连接

此时，在ATServer上就可以查看到地址转换：

在ATServer上设置数据包筛选器，禁止研发部网络访问互联网：

在ATServer配置端口映射：Web站点端口映射远程桌面的端口映射；修改内网服务器WebServer的IP地址。

打开远程连接：

AT服务器上配置公网策略：

输入webserver的地址和端口：

选中刚才创建的WebServerRDP服务，点击“确定”。

5> 在wangPC上测试端口映射

四、案例二

1）场景描述

Windows A主机有2张网卡，网卡1带外，网卡2连内网主机；Linux B主机 网卡与A主机网卡2同一网段

2）实现过程

1、Windows开启网卡1 （带公网的）网络共享

2、对A主机网卡2的IP地址修改为静态IP，网关为空；

、B主机修改网卡网关指向A主机的网卡2 的IP地址；/etc/文件里添加dns解析，指向A主机网卡1的公网IP；