宿迁高防服务器如何做端口映射和转发?

上个星期，宿迁一家做手游联运的创业公司，技术负责人小徐给我打来电话，声音里透着明显的着急。他说他们公司新买的高防服务器，配置已经折腾了两天了，但游戏客户端就是连不上服务器。端口映射规则写了一条又一条，删了加、加了删，始终搞不定。最让他崩溃的是，在控制台里看着规则都在，用telnet一测，端口死活不通。小徐说他甚至怀疑是不是高防服务器本身有问题，差点就要找客服退款了。

小徐遇到的这个问题，在宿迁这座电商和互联网产业快速发展的城市里，其实并不少见。宿迁的京东客服中心、跨境电商产业园、再加上遍地开花的游戏公司和直播公会，高防服务器的使用量越来越大。但很多人买了高防服务器之后，卡在了端口映射和转发这一步，怎么都弄不明白。

我今天就想结合自己在宿迁本地帮助各个企业配置高防服务器端口转发的真实经历，把那些容易踩的坑和正确的方法，一步步说清楚。

先弄明白一件事，端口映射到底是个什么东西

很多人一听到“端口映射”这四个字就觉得头大，觉得是很高深的技术。其实你把它的原理搞清楚了，就会发现它没那么复杂。

你可以把高防服务器想象成你家小区门口的保安亭。你的源服务器(也就是真实存放业务数据和代码的那台机器)相当于你住在小区里面的房子。当外面的人想进你家做客，也就是用户想访问你的业务，他首先要经过小区门口的保安亭。保安会核实他的身份，然后告诉他你住在哪一栋哪一号，他才能找得到你。

端口映射干的就是保安亭里登记信息这件事。你在高防服务器的控制台上设置一条规则，告诉它：“凡是访问我这个高防IP的某个端口的外来请求，都给我转送到源服务器的某个端口上去。”这样一来，用户的请求就先经过高防服务器的清洗和过滤，把攻击流量挡在外面，再把干净的请求转给你的源服务器。

高防服务器的端口转发通常工作在四层，也就是TCP和UDP协议这一层。这意味着它不看你的请求内容是什么，只看你要连接哪个IP、哪个端口、用什么协议。所以游戏、语音通话、视频推流这些实时性要求高的业务，都适合用端口转发的方式来接入高防。

具体怎么操作，我把步骤给你拆开来讲

不同服务商的高防服务器控制台界面可能不太一样，但核心的操作逻辑是差不多的。我把它拆成几个步骤，你照着这个思路去操作，基本不会出错。

第一步，登录高防服务器的管理控制台。一般来说，在你购买高防服务的那个平台上，找到“高防IP管理”或者“DDoS高防”这个模块，点进去就能看到你买的高防实例。如果你找不到，可以在控制台的搜索框里搜一下“高防”或者“DDoS”，通常都能定位到。

第二步，找到端口配置或者转发规则设置的入口。在大多数平台上，这个功能藏在“接入配置”、“端口转发”、“端口配置”或者“虚拟服务器”这几个名字底下。点进去之后，你会看到一个列表，里面可能是空的，也可能已经有几条系统默认的规则。你需要在这里点“添加规则”或者“添加端口转发”按钮。

第三步，填写规则的具体参数。这一步是最关键的，我把每个参数都给你讲清楚。

转发协议这一项，通常可以选择TCP或者UDP。你需要根据你的业务来选。网站的HTTP和HTTPS访问用的是TCP协议。大多数游戏，尤其是实时对战类的游戏，用的是UDP协议。如果你的业务同时用了两种协议，那就需要分别添加两条规则。

转发端口这一项，是用户访问时使用的端口，也就是高防IP上对外开放的那个端口。这里有个讲究，为了管理方便，通常建议让转发端口和源站端口保持一致。比如你的游戏服务器监听的是七七八八这个端口，那你转发端口也填七七八八，这样不容易搞混。另外要注意避开那些已经被系统占用的端口，比如一到一零二三这些知名端口最好不用，推荐用一零二四到六五五三五这个范围里的端口。

源站端口这一项，是你真实业务服务器上实际监听的端口。比如你的网站跑在八零端口上，那源站端口就填八零。你的游戏服务器跑在八零八零端口上，那源站端口就填八零八零。

源站地址这一项，是你源服务器的IP地址，注意要填内网IP还是公网IP，这个要看你的高防服务器和源服务器是不是在同一个机房。一般来说，如果你买的是同一个服务商的高防服务器和云服务器，那填内网IP就可以了，这样转发速度快，还不占用公网带宽。如果源服务器在别的服务商那里，或者在你自己的机房里，那就需要填公网IP。

第四步，保存规则并等待生效。填完这些参数之后，点击确认或者保存按钮。大部分平台的规则会在几分钟之内生效，有些甚至几十秒就好了。生效之后，你可以在规则列表里看到你刚添加的这条规则。

规则写完了，怎么验证它到底通不通

这是小徐当初最头疼的地方。他规则写好了，但不知道该怎么验证，只能等用户来反馈。实际上，验证端口转发是否生效有好几种简单的方法，你在上线之前花几分钟测一下就能安心。

最常用的工具是telnet。打开你电脑的命令提示符(Windows系统)或者终端(Mac、Linux系统)，输入telnet 高防IP地址 转发端口，然后回车。举个例子，如果你的高防IP是123.123.123.123，你配置的转发端口是八零八零，那就输入telnet 123.123.123.123 8080。如果屏幕变成黑屏，或者光标一直在闪，没有提示连接失败，那就说明端口是通的，转发成功。

如果你的业务用的是UDP协议，那telnet就不好使了，因为telnet只支持TCP。这时候你可以用nc命令，也就是netcat。在终端里输入nc -vuz 高防IP地址 转发端口。如果返回的信息里带有succeeded或者类似字样，就说明UDP端口也能通。

还有一种情况，就是你的业务本身就有客户端，那你直接用客户端去连接高防IP和转发端口就行了。比如你做了一个游戏，客户端里填服务器地址的地方，把原来的源服务器IP改成高防IP，端口改成转发端口，如果能正常登录和玩游戏，那就说明转发配置没问题。

三个最容易踩的坑，你一定要注意避开

第一个坑，是端口映射三端没对齐。端口映射不是只在控制台上写一条规则就完事了，它需要高防控制台、服务器操作系统防火墙、还有业务程序本身，这三个地方的端口设置是匹配的。我见过很多这样的情况：控制台上转发端口写的是八零八零，源站端口写的是八零八零，看起来没毛病。但源服务器上，业务程序实际监听的端口是八零八幺，而不是八零八零。这样流量到了源服务器，发现八零八零端口没人收，自然就断了。所以配置之前，一定先确认好你的业务程序到底在哪个端口上监听。

第二个坑，是协议选错了。TCP和UDP是两码事，不能混用。你的游戏客户端用的是UDP协议跟服务器通信，你却在控制台上配了一条TCP的转发规则，那肯定连不上。怎么确认协议呢?最直接的办法是问你的开发人员，或者去查业务程序的配置文件。拿不准的话，可以去翻一下你之前裸连源服务器时的网络抓包，看一下是什么协议。

第三个坑，是忘了放行高防的回源IP。很多人在源服务器上开了防火墙，或者装了安全软件，只允许某些IP访问。高防服务器转发过来的请求，用的是高防服务商提供的回源IP段，如果这些IP不在你源服务器的白名单里，请求就会被拦下来。解决方法是，去高防控制台上找到回源IP段的列表，把这些IP添加到源服务器的防火墙白名单里。不同服务商的操作路径不太一样，一般在“接入配置”或者“实例详情”附近能找到“查看回源IP段”的按钮。

源服务器上TOA模块的问题，你可能也会遇到

这是一个稍微进阶一点的问题，但我还是想说一下，因为太多人在这上面摔跟头了。

当你把流量通过高防服务器转发到源服务器之后，源服务器上看到的请求来源IP就不再是用户的真实IP了，而是高防服务器的回源IP。这对于一些需要记录用户真实IP的业务来说，是个大麻烦。比如你的网站要根据用户的IP来显示不同的内容，或者你的游戏要根据IP来封禁作弊玩家，拿不到真实IP就很尴尬。

解决这个问题需要在源服务器上安装一个叫TOA的模块。TOA模块会把用户的真实IP通过TCP option字段从高防服务器传到源服务器，源服务器上安装了TOA模块之后，就能从这个字段里提取出用户的真实IP。

不同操作系统的安装方法略有不同，但大体思路是去服务商的文档中心找到TOA源码，编译之后加载到内核里。这个过程需要一点Linux基础，但如果你的业务确实需要获取用户真实IP，这一步是绕不开的。

从宿迁本地的案例看一个完整的过程

我想用一个发生在宿迁本地的真实案例，来帮大家把这些知识点串起来。

宿迁一家做直播互娱的公司，他们有一个语音连麦的业务，需要用到UDP协议。他们买了一台高防服务器之后，技术员在控制台上添加了一条转发规则，协议选了UDP，转发端口和源站端口都填了九千九百九十九，源站地址填了源服务器的内网IP。规则保存之后，用nc命令测了一下，端口通的。然后就通知业务部门切流量了。

结果一切过去，语音连麦的质量直线下降，经常断断续续。他们排查了带宽、排查了服务器负载，都没发现问题。后来我帮他们看了一下，发现问题的根源在MTU上。UDP包的大小超过了路径MTU，导致分包之后在高防和源服务器之间传丢了。

解决的办法是在源服务器的网卡上调整了MTU值，同时在业务程序里限制了单个UDP包的大小。调整完之后，语音质量就恢复正常了。

这个案例给我的启发是，端口映射配置成功只是第一步，业务跑起来稳不稳定，还需要结合业务本身的特征做精细化的调优。

业务切换之前，别忘了做一件事

在你把所有端口映射规则都配好、验证通了之后，还有一个非常重要的步骤，就是把业务流量正式切换到高防服务器上。

如果你的业务是通过域名访问的，那你需要在域名解析服务商那里，把域名的A记录或者CNAME记录改成高防IP或者高防CNAME地址。如果你的业务是通过IP直连的，比如很多游戏客户端，那你就需要把客户端里配置的服务器地址改成高防IP，然后重新打包或者通过热更新的方式推送给用户。

切换完成之后，不要以为就万事大吉了。建议你在高防控制台上把监控打开，看看流量的走势是否正常，有没有异常的丢包或者延迟。同时，定期查看一下攻击日志，了解你的业务正在遭受什么样的攻击，方便后续调整防护策略。

总结

写到这儿，我想把今天讲的内容用几句话帮你梳理一下。

宿迁高防服务器的端口映射和转发，本质上是把高防IP上的某个端口和源服务器的某个端口建立起一个对应关系，让流量先经过清洗再转发到源站。操作上，登录控制台、添加转发规则、填写协议和端口、保存生效，流程不算复杂。

但实际操作中容易出问题的，往往不是“怎么配置”，而是“配置的是不是对的”。协议有没有选错、端口三端有没有对齐、源服务器防火墙有没有放行高防回源IP、需不需要装TOA模块，这些细节任何一个出了岔子，都会导致端口不通或者业务异常。