penWrt端口转发是将外网访问路由器特定端口的请求,转发到内网指定设备的技术。OpenWrt作为开源路由器系统,通过防火墙的DNAT机制实现此功能,主要用于远程访问内网服务(如NAS、摄像头)或搭建个人服务器。
Web界面配置(推荐新手)
1. 登录LuCI管理界面(默认 `192.168.1.1`)
2. 依次点击 网络 → 防火墙 → 端口转发
3. 点击添加并填写参数:
| 参数 | 示例值 | 说明 |
|------|--------|------|
| 名称 | Web服务 | 自定义标识 |
| 协议 | TCP | Web服务选TCP |
| 外部端口 | 8080 | 外网访问端口 |
| 内部IP | 192.168.1.100 | 目标设备IP |
| 内部端口 | 80 | 实际服务端口 |
4. 点击保存&应用使规则生效
命令行配置(进阶用户)
通过SSH登录后,可执行uci命令添加规则:
```bash
添加转发规则(外网8080→内网192.168.1.100:80)
uci add firewall redirect
uci set firewall.@redirect[-1].name="Web服务"
uci set firewall.@redirect[-1].src="wan"
uci set firewall.@redirect[-1].src_dport="8080"
uci set firewall.@redirect[-1].proto="tcp"
uci set firewall.@redirect[-1].dest_ip="192.168.1.100"
uci set firewall.@redirect[-1].dest_port="80"
uci commit firewall
/etc/init.d/firewall restart
```
常见问题排查
| 问题 | 解决方法 |
|------|---------|
| 外网无法访问 | 检查WAN口是否为公网IP;运营商可能封锁80/443端口,改用高位端口 |
| IP变化导致失效 | 配置DDNS动态域名绑定 |
| 无公网IP | 使用内网穿透工具(如花生壳) |
| 规则重启丢失 | 确保已执行`保存&应用`而非仅保存 |
安全建议
- 修改默认SSH端口22为高位端口
- 仅转发必要服务,避免全端口开放
- 配合防火墙限制来源IP范围
一句话总结:进入防火墙端口转发页面 → 添加规则(外部端口→内网IP:内部端口)→ 保存应用即可。
另外,可以借助 80KM 端口流量转发程序,搭建流量中转节点,所有外网访问经过节点再回源,彻底隐藏真实 IP。支持 80、443 常用网页端口,兼容各大系统。
