浅谈路由器Openwrt防火墙的 端口转发 与 NAT穿透 区别与优缺点
绝大多数ADSL用户处于大内网中(而99.9%的宽带用户使用这种方式入网, 政策持续收紧IPv4公网IP的发放), 本文进一步探讨如何映射大内网中的服务到互联网. PS5主机, Switch, Steamdeck等主机NAT类型探讨
有什么用
路由器Openwrt防火墙的 端口转发 与 NAT穿透 区别与优缺点
了解原理, 拓展应用
概念与理论
设置路由器安装相应的应用, 配置等. 实现特定功能. 相关视频(介绍的stun打洞穿透nat):
什么是 NAT?
NAT 代表网络地址转换,允许多个内网设备共享一个公网IP地址,使内网设备能够与外部互联网通信,主要是为了解决IPV4地址不足的问题,NAT通常部署在路由器上。 NAT 在正常的网页浏览、观看视频没太大问题,主要影响在 P2P 连接上,对游戏、下载、视频通话等应用,会受到不同NAT类型的影响。
NAT 四种类型:
- Full Cone NAT:全锥形,任何外部主机只要知道这个公网IP和端口,就能向内网主机发送数据。
- Restricted Cone NAT:受限锥形,内网主机需先向外部主机发送数据,该外部主机才能向内网主机发送数据。
- Port Restricted Cone NAT:端口受限锥形,内网主机需先向外部主机发送数据,该外部主机的特定端口才能向内网主机发送数据。
- Symmetric NAT:对称形,内网主机与每个外部主机通信时,会分配不同的公网IP和端口,在安全性上最为严格,但也最容易导致连接问题。
总结:前面三种NAT类型都是锥形网络,内网主机使用固定的公网IP和端口进行所有的外部通信,区别在于NAT设备防火墙的安全策略不同,对称形限制最严格,场景最复杂。
端口转发和NAT 穿透 区别于优缺点
在 OpenWrt 环境中,端口转发和NAT 穿透是两种解决内网设备对外暴露服务的技术,核心目标一致但实现原理、适用场景完全不同,下面详细拆解它们的区别、优缺点及适用场景。
一、核心概念与原理
1. 端口转发(Port Forwarding)
本质:属于 静态 NAT 技术,由 OpenWrt 路由器主动配置规则,将公网 IP 的特定端口映射到内网指定设备的端口。
工作流程
- 外网设备向路由器的公网 IP + 映射端口发起请求;
- 路由器根据预设规则,将请求转发给内网目标设备;
- 内网设备的响应通过路由器原路返回给外网设备。
OpenWrt 配置入口:
网络 → 防火墙 → 端口转发,需填写外部端口、内部 IP、内部端口、协议等参数。
2. NAT 穿透(NAT Traversal)
本质:一种 动态穿透技术,用于突破 NAT 网关的隔离限制,让外网设备直接访问内网设备,无需依赖路由器的公网 IP 或手动配置端口规则。
常见实现方式
- UPnP/NAT-PMP:内网设备主动向路由器申请端口映射,路由器自动生成临时规则(重启后可能失效);
- P2P 穿透(如 STUN/TURN/ICE 协议):通过公共服务器获取双方的 NAT 类型和端口信息,建立直接连接;
- 反向代理穿透(如 frp、ngrok):借助公网服务器作为中转,内网设备主动连接公网服务器,外网设备通过服务器间接访问内网服务。
OpenWrt 相关配置:UPnP 可通过安装
luci-app-upnp插件启用;第三方穿透工具(如 frp)需手动安装客户端并配置。
二、核心区别对比表
| 对比维度 | 端口转发(静态 NAT) | NAT 穿透(动态 / 中转) |
|---|---|---|
| 依赖条件 | 路由器必须有公网 IP(运营商提供) | 支持多种场景:有 / 无公网 IP 均可(中转模式无需公网 IP) |
| 配置方式 | 手动在路由器配置固定规则,静态不变 | 自动(UPnP)或客户端配置,动态灵活 |
| 端口控制权 | 端口由路由器分配,固定不变 | 端口可由内网设备申请(UPnP)或随机分配 |
| 适用网络环境 | 仅适用于有公网 IP的宽带(如家庭光纤) | 适用于无公网 IP的环境(如内网多层 NAT、校园网) |
| 安全性 | 规则固定,暴露端口少,风险可控 | UPnP 自动开放端口,存在安全隐患;中转模式依赖第三方服务器 |
| 稳定性 | 规则固定,稳定性高 | UPnP 可能因路由器重启失效;P2P 穿透受 NAT 类型影响,稳定性一般 |
三、优缺点分析
1. 端口转发(Port Forwarding)
优点
- 稳定性强:规则是静态配置的,只要公网 IP 不变,服务就能稳定对外提供;
- 安全性高:仅开放需要的端口,且可配合防火墙规则(如限制访问源 IP)进一步降低风险;
- 无额外开销:无需依赖第三方服务器,数据直接传输,延迟低。
缺点
- 依赖公网 IP:如果运营商不给公网 IP(如内网 IP、CGNAT 网络),则完全无法使用;
- 配置繁琐:每新增一个内网服务,都需要手动在路由器添加一条转发规则;
- 公网 IP 变化影响服务:家庭宽带的公网 IP 多为动态,IP 变化后外网设备需重新更新地址。
2. NAT 穿透
优点
- 无需公网 IP:中转模式(如 frp)即使路由器是内网 IP,也能实现外网访问;
- 配置灵活:UPnP 可自动映射端口,无需手动配置;第三方穿透工具支持多设备、多服务同时穿透;
- 适配复杂网络:适合校园网、企业内网等多层 NAT 环境。
缺点
稳定性参差不齐:
- UPnP 依赖路由器支持,部分路由器兼容性差,重启后规则丢失;
- P2P 穿透受 NAT 类型限制(如对称型 NAT 难以穿透),可能需要中转服务器;
安全风险:UPnP 会自动开放内网端口,若设备存在漏洞,容易被外网攻击;
中转模式有额外延迟:数据需经过第三方公网服务器转发,延迟比端口转发高,且可能受服务器带宽限制。
四、适用场景推荐
| 场景 | 推荐技术 | 原因 |
|---|---|---|
| 家庭宽带(有公网 IP),搭建内网服务(如 NAS、监控) | 端口转发 | 稳定、低延迟、安全可控 |
| 家庭宽带(无公网 IP/CGNAT),临时访问内网设备 | NAT 穿透(frp/ngrok 中转) | 突破无公网 IP 限制 |
| 内网设备频繁新增服务,不想手动配置 | NAT 穿透(UPnP) | 自动映射端口,简化操作 |
| 企业 / 校园网(多层 NAT),远程访问内网办公设备 | NAT 穿透(frp 内网穿透) | 适配复杂网络环境 |
总结
- 有公网 IP 优先选端口转发:稳定、安全、无额外开销,是家庭场景的最优解;
- 无公网 IP 选 NAT 穿透:通过中转工具(如 frp)实现外网访问,牺牲一点延迟换可用性;
- 临时轻量需求用 UPnP:适合游戏、投屏等临时端口映射需求,长期服务不建议依赖。
相关内容
NAT及应用(stun打洞穿透nat)
在线检测NAT类型: https://mao.fan/mynat
NAT 类型对比
| NAT 类型 | 游戏 | 语音 | P2P | PS5 | Xbox | Switch |
|---|---|---|---|---|---|---|
| 开放网络 | 优秀 | 优秀 | 优秀 | Type 1 | Open | Type A |
| 全锥形 NAT | 优秀 | 优秀 | 优秀 | Type 1 | Open | Type A |
| 受限 NAT | 良好 | 良好 | 中等 | Type 2 | Moderate | Type B |
| 端口受限 NAT | 中等 | 中等 | 较差 | Type 2 | Moderate | Type C |
| 对称 NAT | 较差 | 较差 | 阻止 | Type 3 | Strict | Type D |
路由器拨号获取IP地址 100.64.. 这个网段是cgnat专用网段
用到的工具是natmap: https://github.com/heiher/natmap
未完待续…
灵感来源
PS4-PS5游戏机通过局域网翻墙,加速游戏,以及下载游戏教程
