服务器怎么做端口映射？

1、首先打开浏览器，输入路由器地址192.168.1.1，如果有做更改请输入更改后的地址，输入账号密码登陆路由器。

2、不同路由器的Web管理界面可能稍有不同，但设置方法大同小异。这里点击应用程序（部分路由器在LAN端口设置中）→选择IP与MAC绑定（也有叫：静态地址绑定、静态IP绑定）

3、将需要映射的主机进行IP绑定，如果不绑定静态IP，在DHCP重新分配IP后会导致映射失效。设置好之后记得点击保存。

4、返回应用列表，找到虚拟服务器，点击进入。

5、点击添加

6、将内部端口（应用程序的端口，如远程桌面默认3389）、外部端口（外网访问的端口），及刚刚绑定的内网IP地址填写之后点击保存。到此就完成了端口映射的设置。

7、完成设置之后，可以使用外网环境进行测试。注意一定要外网环境，如果在同 局域网，即时用外网地址访问，防火墙/路由器也会将其转换为局域网地址。

设备：ASA、Firepower2100系列

内网服务IP:172.17.135.240  端口号：9000

公网IP：103.198.199.200   映射后的端口号 59000

白名单公网IP：18.18.18.200

------------------------------------配置一---------------------------------

步骤一、定义object和nat

object network Server01

host 172.17.135.240

nat (inside,outside) static 103.198.199.200 service tcp 9000 59000 

步骤二、定义一个object-group

object-group service Server-9000

service-object tcp destination eq 9000

object-group service PC1-outside-ISP

network-object host 18.18.18.200

步骤三、定义ACL

access-list 100 extended permit object-group Server-9000 any any

(可选)access-list 100 extended permit ip object-group PC1-outside-ISP host 172.23.14.206

步骤四、将定义的ACL应有在access-group及指定的公网接口为nameif的outside

access-group 100 in interface outside

------------------------------------配置二---------------------------------

第二种配置和第一种配置相比更加灵活，体现在步骤二

步骤一、定义object和nat

object network Server01

host 172.17.135.240

nat (inside,outside) static 103.198.199.200

步骤二、定义一个object-group

object-group service Server-9000    //这里可以开放更多服务端口，不限于1个

service-object tcp destination eq 9000

service-object tcp destination eq 22

service-object tcp destination eq 1731

步骤三、定义ACL

access-list 100 extended permit object-group Server-9000 any any

步骤四、将定义的ACL应有在access-group及指定的公网接口为nameif的outside

access-group 100 in interface outside

------------------------------------配置三---------------------------------

object network Server01

host 172.17.135.240

nat (cctv,outside3) static 134.159.235.70 service tcp 8000 8000

object-group service Server-9000

service-object tcp destination eq 9000

access-list 100 extended permit tcp any host 172.17.135.240 eq 9000

access-group 100 in interface outside

如果对外部访问服务器的ip需要加白，该如何做？

原配置 access-list 100 extended permit object-group Server-9000 any any

新配置  access-list 100 extended permit object-group Server-9000 object-group Trust-ip any

再定义一个object-group用来存放信任ip

object-group service Trust-ip

network-object host 61.253.12.1

network-object host 202.120.142.3

network-object 194.66.220.0 255.255.255.0

---