1. 背景与目标

将内网服务（如Web服务器、SSH、数据库）通过公网访问，需将内网私有IP（如192.168.x.x）映射至外网公网IP。本方案提供多种实现方式，适应家庭、企业及云环境。

2. 核心方案选型

根据场景选择以下方案之一：

• 方案A：路由器端口映射（推荐）
  适用场景：家庭/小型企业网络，拥有物理路由器控制权。
• 方案B：云平台NAT网关
  适用场景：公有云（如AWS/Azure/阿里云）环境。
• 方案C：反向代理（Nginx/HAProxy）
  适用场景：无路由器权限或需灵活流量管理。
• 方案D：VPN反向访问
  适用场景：高安全要求，避免直接暴露端口。

3. 方案A：路由器端口映射（详细步骤）

3.1 前置条件

• 内网主机IP及端口（如192.168.1.100:80）。
• 路由器管理员权限及公网IP（静态或动态）。

3.2 配置流程

1. 登录路由器管理界面
   访问http://192.168.1.1，输入管理员账号密码。
2. 配置端口转发规则
• 位置：通常在高级设置 > NAT/端口转发。
• 添加规则示例：

  外部端口: 8080  
  内部IP: 192.168.1.100  
  内部端口: 80  
  协议: TCP/UDP  
  

3. 配置DDNS（动态IP场景）
• 注册DDNS服务（如花生壳、No-IP），绑定域名。
• 在路由器中填写DDNS账号，自动更新IP映射。
4. 开放防火墙规则
   确保路由器防火墙允许外部流量进入指定端口（如8080）。

3.3 验证访问

• 外网通过http://公网IP:8080或http://ddns域名:8080访问内网服务。

4. 方案B：云平台NAT网关配置（以阿里云为例）

4.1 前置条件

• 云服务器ECS位于私有子网。
• 已创建NAT网关并绑定弹性公网IP（EIP）。

4.2 配置流程

1. 创建端口转发条目
• 进入VPC控制台 > NAT网关 > 端口转发。
• 添加规则：

  公网端口: 2200  
  私网IP: 192.168.2.5  
  私网端口: 22  
  协议: TCP  
  

2. 配置安全组
• 关联ECS的安全组需放行对应端口（如2200）。

4.3 验证访问

• 通过SSH连接至NAT网关EIP的2200端口：
  ssh user@nat_gateway_eip -p 2200

5. 方案C：Nginx反向代理配置

5.1 安装与配置

1. 安装Nginx

   # Ubuntu
   sudo apt install nginx
   

2. 编辑配置文件

   server {
       listen 80;
       server_name example.com;
       
       location / {
           proxy_pass http://192.168.1.100:8080;
           proxy_set_header Host $host;
       }
   }
   

3. 重启服务

   sudo systemctl restart nginx
   

5.2 安全加固

• 配置SSL（Let's Encrypt）：

  sudo certbot --nginx -d example.com
  

6. 安全与优化建议

• 最小化暴露：仅开放必要端口，使用非标准端口降低扫描风险。
• IP白名单：在路由器/防火墙限制来源IP（如企业VPN出口IP）。
• 日志监控：记录访问日志，定期审计异常连接。
• 服务更新：确保内网服务补丁及时更新，避免漏洞利用。

7. 故障排查

• 检查端口连通性：

  telnet 公网IP 端口  # 或使用nmap
  

• 查看防火墙日志：确认未拦截合法流量。
• 内网测试：确保内网服务本地访问正常。

阅读原文：原文链接