在Windows系統(tǒng)中，從XP開始就內(nèi)嵌了一個(gè)設(shè)置網(wǎng)絡(luò)端口轉(zhuǎn)發(fā)的功能。依靠這個(gè)功能，任何到本地端口的TCP連接（ipv4或ipv6）都能夠被轉(zhuǎn)發(fā)到任意一個(gè)本地端口，甚至是遠(yuǎn)程主機(jī)的某個(gè)端口。并且，Windows系統(tǒng)并不需要去開啟監(jiān)聽這個(gè)轉(zhuǎn)發(fā)端口的服務(wù)。

在Windows服務(wù)器中，遠(yuǎn)程訪問控制協(xié)議（RRAS）通常被用作端口轉(zhuǎn)發(fā)，但是有一種更簡單的配置方法，并且這種配置方法適用于windows的任意版本。

Windows系統(tǒng)下的端口轉(zhuǎn)發(fā)使用portproxy模式下的netsh命令，該命令的使用前提是要在管理員身份打開cmd進(jìn)行執(zhí)行。

netsh interface portproxy add v4tov4? listenaddress=localaddress listenport= localport connectaddress=destaddress? connectport=destport protocol=tcp

listenaddress – 待連接的ip地址。

listenport –待連接的tcp本地端口 。

connectaddress – 待連接被轉(zhuǎn)發(fā)的本地或遠(yuǎn)程主機(jī)的ip地址(支持域名)

connectport –從listenport轉(zhuǎn)發(fā)到的tcp端口

案例1：將一個(gè)RDP服務(wù)(遠(yuǎn)程桌面協(xié)議)轉(zhuǎn)發(fā)到任意端口，將進(jìn)來的流量從3340端口轉(zhuǎn)發(fā)到標(biāo)準(zhǔn)的RDP端口3389。

netsh interface portproxy add v4tov4? listenport=3340 listenaddress=10.1.1.110? connectport=3389 connectaddress=10.1.1.110

1) netstat -ano | findstr :3340來驗(yàn)證3340端口是否正在監(jiān)聽中，如果該命令沒有返回任何信息，或者說通過netsh接口并沒有實(shí)現(xiàn)端口轉(zhuǎn)發(fā)的功能，那么需要查看下系統(tǒng)是否開啟了iphlpsvc（ip Helper）服務(wù)。

2) tasklist | findstr 3340查看監(jiān)聽該端口的進(jìn)程

3) 檢查防火墻是否關(guān)閉，如果關(guān)閉則跳過。如果打開需要手工配置相應(yīng)的防火墻。

連接時(shí)請確保防火墻（Windows防火墻或者其他的第三方防護(hù)軟件）允許外部連接到一個(gè)全新的端口，如果不允許，那么只能自行添加一個(gè)新的Windows防火墻規(guī)則，命令如下：netsh advfirewall firewall add rule name=”forwarded_RDPport_3340”? protocol=TCP dir=in localip=10.1.1.110? localport=3340 action=allow

當(dāng)通過Windows防火墻接口為3340端口建立一個(gè)新的規(guī)則時(shí)，這個(gè)端口需要保證沒有被任何程序占用，也就是說此端口僅供網(wǎng)絡(luò)驅(qū)動使用。你可以創(chuàng)立任意的Windows端口轉(zhuǎn)發(fā)規(guī)則，所有的netsh接口下的端口代理規(guī)則都是永久的，并且儲存在系統(tǒng)中（不受開機(jī)重啟的影響）。

查看系統(tǒng)中的所有轉(zhuǎn)發(fā)規(guī)則是否生效：

netsh interface portproxy show all

查看端口轉(zhuǎn)發(fā)的設(shè)置：netsh interface portproxy dump

刪掉一個(gè)特定的端口轉(zhuǎn)發(fā)規(guī)則：

netsh interface portproxy delete v4tov4

清空當(dāng)前所有的配置規(guī)則：

netsh interface portproxy reset

從遠(yuǎn)程主機(jī)來嘗試連接這個(gè)新轉(zhuǎn)發(fā)的端口3340，3340端口等同于原來的3389端口，連接的地址為10.10.1.110:3340。

注意：這些轉(zhuǎn)發(fā)規(guī)則僅僅適用于TCP端口，對于UDP的端口轉(zhuǎn)發(fā)，使用上面的方法是無效的。在配置規(guī)則時(shí)，不能將127.0.0.1作為連接地址。

其他端口轉(zhuǎn)發(fā)招式

1) 通過一臺windows機(jī)器端口轉(zhuǎn)發(fā)到一臺windows遠(yuǎn)程主機(jī)

netsh interface portproxy add v4tov4? listenport=3340 listenaddress=10.1.1.110? connectport=3389? connectaddress=10.1.1.110

netsh interface portproxy add v4tov4 listenport=3389 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.100.101

2) 通過一臺ipv4的Windows機(jī)器轉(zhuǎn)發(fā)到一臺ipv6的服務(wù)器。

netsh interface portproxy add v4tov6? listenport=3340 listenaddress=10.1.1.110? connectport=3389? connectaddress=ffff::66

FAQ

1) 在Windows Server 2012 R2中，端口轉(zhuǎn)發(fā)規(guī)則有可能會在系統(tǒng)重啟后被重置，在這種情況下，需要在網(wǎng)絡(luò)協(xié)議中檢查是否存在配置不當(dāng)，導(dǎo)致網(wǎng)絡(luò)的間斷性斷開，或者當(dāng)系統(tǒng)重啟時(shí)是否出現(xiàn)了ip地址的變換（推薦使用靜態(tài)ip）。在一個(gè)工作組里，通常是在windows任務(wù)計(jì)劃程序里添加了一個(gè)實(shí)現(xiàn)端口轉(zhuǎn)發(fā)的腳本。

2) 在Windows 2003/XP中，必須在注冊表（HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters）中找到并設(shè)置IPEnableRouter參數(shù)為1才能實(shí)現(xiàn)端口轉(zhuǎn)發(fā)。

3) 防火墻規(guī)則檢查

4) 端口轉(zhuǎn)發(fā)依賴的ip helper服務(wù)是否啟動

5) 端口轉(zhuǎn)發(fā)是否生效

6) Windows7和WindowsServer2008R2安全事件的說明操作系統(tǒng)日志標(biāo)識

Windows日志查看

6273 網(wǎng)絡(luò)策略服務(wù)器拒絕用戶訪問。

6274 網(wǎng)絡(luò)策略服務(wù)器放棄用戶的請求。

4868 證書管理器拒絕了掛起的證書請求。

4870 證書服務(wù)吊銷了證書。

4944 當(dāng)啟動 Windows 防火墻時(shí)，以下策略處于活動狀態(tài)。

4945 當(dāng)啟動 Windows 防火墻已列出規(guī)則。

4946 Windows 防火墻例外列表已更改。添加的規(guī)則。

4947 Windows 防火墻例外列表已更改。修改規(guī)則的。

4948 Windows 防火墻例外列表已更改。規(guī)則已被刪除。

4949 Windows 防火墻設(shè)置都恢復(fù)為默認(rèn)值。

4950 更改 Windows 防火墻設(shè)置。

4951 Windows 防火墻忽略規(guī)則，因?yàn)闊o法識別的主要版本號。

4952 Windows 防火墻忽略規(guī)則的部分，因?yàn)闊o法識別它的次要版本號。將強(qiáng)制執(zhí)行該規(guī)則的其他部分。

4953 由于無法分析，Windows 防火墻將忽略規(guī)則。

4954 Windows 防火墻組策略設(shè)置已更改，并且未應(yīng)用新設(shè)置。

4956 Windows 防火墻更改活動配置文件。

5024 Windows 防火墻服務(wù)已成功啟動。

5025 Windows 防火墻服務(wù)已停止。

5027 Windows 防火墻服務(wù)無法從本地存儲區(qū)中檢索的安全策略。Windows 防火墻將繼續(xù)執(zhí)行當(dāng)前的策略。

5028 Windows 防火墻無法分析新的安全策略。Windows 防火墻將繼續(xù)執(zhí)行當(dāng)前的策略。

參考

http://woshub.com/port-forwarding-in-windows/