怎样才可以把内网服务发布到公网

  很多用户在自己的机器中架设起网站、FTP服务，甚至是小型邮件服务器，但这些网络服务由于防火墙或处于内网的缘故，只能供自己或同一局域网内的用户使用。如果你想让这些网络服务被更多的人分享，其实可以利用防火墙将这些服务发布到互联网中，如何发布呢？

下面，就针对Windows XP系统的Windows防火墙的“服务发布”功能，介绍几种常用服务的发布操作。
　　
　　服务发布“要素”
　　
　　在进行服务发布操作之前，首先要了解发布服务所要掌握的几个要素，它有助于用户对服务发布的理解。这几个要素依次是“服务发布所使用的协议”、“服务使用的端口”、“防火墙映射端口”、“服务器的IP地址”。
　　
　　以发布IIS服务为例。默认情况下，IIS服务是在TCP的80端口监听用户的访问，所以这个“80”就是IIS服务使用的端口。当然这个端口号也可以自定义，如修改为“8000”，只要不和别的服务使用的端口号冲突即可。
　　
　　其次要正确理解IIS服务发布所使用的协议，它使用的是TCP协议。
　　
　　提示：我们通常说的“HTTP”协议是指用户访问IIS网站所需要的协议，而IIS服务发布所使用的是TCP协议，它和“HTTP”协议是不同的。
　　
　　另外，还要清楚地知道IIS服务的IP地址，以及它在Windows防火墙中所使用的映射端口，这个映射端口也可以是“80”，当然也可以自行修改，只要该映射端口没被别的服务占用即可。
　　
　　实战
　　
　　了解了服务发布所需要掌握的几个要素后，下面就开始“小试牛刀”。
　　
　　1.Web服务发布
　　
　　下面，就通过Windows防火墙将内网中的IIS服务发布到互联网中。该IIS服务器位于内网，并且使用IP地址“192.168.1.5”，没发布之前只有同一局域网中的用户能访问它，互联网中的其他用户则无法访问。想让更多的用户访问到它，就必须将IIS服务发布到公网上才行。

在网关服务器的系统托盘中，右键点击连接公网的那块网卡的图标，在弹出的菜单中选择“更改Windows防火墙设置”，弹出“Windows防火墙”对话框，切换到“高级”标签页，然后在“网络连接设置”框中选中连接公网的那个连接选项后，点击“设置”按钮，弹出“高级设置”对话框(图1)，切换到“服务”标签页，在这里就可以对IIS服务进行发布。

图1

　　在Windows防火墙中已经内置了常用的服务发布选项，如Web服务器、FTP服务器等，只是没被启用。如果IIS服务使用的端口和Windows防火墙的映射端口都是使用默认的“80”，直接启用内置的“Web服务器发布选项”即可完成IIS服务发布。在服务标签页中，勾选“Web服务器(HTTP)”选项后，双击该选项，在弹出的“服务设置”对话框中的“在您的网络上主持此服务的计算机的名称或IP地址”栏输入IIS服务的IP地址，如“192.168.1.5”，然后点击“确定”按钮，最后在服务标签页中点击“确定”完成IIS服务的发布。

补充：如果IIS服务使用的端口和Windows防火墙的映射端口不全是默认的“80”，那么我们就要新建服务发布选项，完成IIS服务的发布。如IIS服务使用的是“8000”端口，Windows防火墙的映射端口使用“80”。在服务标签页中点击“添加”按钮，弹出“服务设置”对话框(图2)，在“服务描述”栏中为该服务发布选项设置一个名称，如“我的Web服务器”，接着在“在您的网络上主持此服务的计算机的名称或IP地址”栏中输入IIS服务器的IP地址，选中“TCP”单选项，然后在“此服务的外部端口号”栏中输入“80”，也就是Windows防火墙的映射端口，在“此服务的内部端口号”栏中输入“8000”，这是IIS服务器所使用的端口号，最后点击“确定”按钮，完成IIS服务的发布。

图2

　　2.FTP服务发布
　　
　　Windows防火墙中也内置了FTP服务器的发布选项。如果FTP服务使用的端口和Windows防火墙的映射端口都为默认的“21”，就可以直接启用FTP服务发布选项。方法同IIS服务的发布是一样的。但此时要注意服务器发布选项中不包含服务器的IP地址参数，需要我们手工设置。因此双击服务标签页中的“FTP服务器”选项，在“服务设置”对话框中的“在您的网络上主持此服务的计算机的名称或IP地址”栏输入FTP服务器的IP地址即可，最后点击“确定”按钮。
　　
　　有些用户发现，启用了内置的FTP服务器选项后，还是不能正常访问FTP服务器，这是因为用户访问FTP服务器，不但要使用FTP服务器的“21”端口，还需要使用“20”端口传输数据，必须将该端口发布到公网上才行。
　　
　　新建一个服务发布选项，将“20”端口发布到公网中。在服务标签页中点击“添加”按钮，弹出“服务设置”对话框，在“服务描述”栏中输入“FTP服务器－20”，接着输入FTP服务器的IP地址，选中“TCP”单选项，然后在“此服务的外部端口号”栏中输入“20”，在“此服务的内部端口号”栏中输入“20”，最后点击“确定”按钮，完成FTP服务器的“20”端口的发布。
　　
  3.VPN服务发布

  要外网访问，必须在路由上设置，端口映射到192.168.0.x，输入你的外网固定IP就可以连接了，在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

  第一步：依次选择“开始”－“管理工具”－“路由和远程访问”，打开“路由和远程访问”服务窗口；再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”，        
      
  第二步：在出现的配置向导窗口点下一步，进入服务选择窗口，如果你的服务器如某此资料所说的那样只有一块网卡，那只能选择“自定义配置”；而标准VPN配置是需要两块网卡的，如果你服务器有两块网卡，则可有针对性的选择第一项或第三项。然后一路点击下一步，完成开启配置后即可开始VPN服务了。

  第三步：到这里还没完，以上两步只是开启了VPN服务，还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题，右击右边树形目录里的本地服务器名，选择“属性”并切换到IP选项卡（如下图所示）。这里要说的是：如果你的internet拉入方式为宽带路由接入即DHCP方式，那就不需要改，不过根据笔者的经验，采用DHCP动态IP的网络速度相对较慢；而使用静态IP可减少IP地址解析时间，提升网络速度，其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段，也可自行定义，比如常见的局域网段“192.168.0.X”。

  第四步：我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问；而如果你是家庭用户采用的ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在www.oray.net下载，其安装及注意事项请参阅相关资料，这里不再详述。好了，差不多了，经过以上的步骤，你的服务端VPN已正式开始工作了。


  VPN客户端配置。
  这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接着笔者同样以windows 2003客户端为例说明，其它的win2K操作系统设置都大同小异：

  第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”；接着为此连接命名后点下一步。

  第二步：在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的固定内容，可以是固定IP，也可以是由花生壳软件解析出来的动态域名（此域名需要在提供花生壳软件的www.oray.net网站下载）；接着出现的“可用连接”窗口保持“只是我使用”的默认选项；最后，为方便操作，可以勾选“在桌面上建立快捷方式”选项，单击完成即会先出现VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。

  连接后的共享操作。

  只要有过一些局域网使用经验的朋友应该知道怎么做了吧？一种办法是通过“网上邻居”查找VPN服务端共享目录；另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了，自然也就可以直接点击某个视频节目播放，省去下载文件这一步所花时间了。