OpenWrt端口转发不生效？从防火墙规则到IP转发全面排查

penWrt端口转发是将外网访问路由器特定端口的请求，转发到内网指定设备的技术。OpenWrt作为开源路由器系统，通过防火墙的DNAT机制实现此功能，主要用于远程访问内网服务（如NAS、摄像头）或搭建个人服务器。

Web界面配置（推荐新手）

1. 登录LuCI管理界面（默认 `192.168.1.1`）
2. 依次点击 网络 → 防火墙 → 端口转发
3. 点击添加并填写参数：

| 参数 | 示例值 | 说明 |
|------|--------|------|
| 名称 | Web服务 | 自定义标识 |
| 协议 | TCP | Web服务选TCP |
| 外部端口 | 8080 | 外网访问端口 |
| 内部IP | 192.168.1.100 | 目标设备IP |
| 内部端口 | 80 | 实际服务端口 |

4. 点击保存&应用使规则生效

命令行配置（进阶用户）

通过SSH登录后，可执行uci命令添加规则：

```bash
添加转发规则（外网8080→内网192.168.1.100:80）
uci add firewall redirect
uci set firewall.@redirect[-1].name="Web服务"
uci set firewall.@redirect[-1].src="wan"
uci set firewall.@redirect[-1].src_dport="8080"
uci set firewall.@redirect[-1].proto="tcp"
uci set firewall.@redirect[-1].dest_ip="192.168.1.100"
uci set firewall.@redirect[-1].dest_port="80"
uci commit firewall
/etc/init.d/firewall restart
```

常见问题排查

| 问题 | 解决方法 |
|------|---------|
| 外网无法访问 | 检查WAN口是否为公网IP；运营商可能封锁80/443端口，改用高位端口 |
| IP变化导致失效 | 配置DDNS动态域名绑定 |
| 无公网IP | 使用内网穿透工具（如花生壳） |
| 规则重启丢失 | 确保已执行`保存&应用`而非仅保存 |

安全建议

- 修改默认SSH端口22为高位端口
- 仅转发必要服务，避免全端口开放
- 配合防火墙限制来源IP范围

一句话总结：进入防火墙端口转发页面 → 添加规则（外部端口→内网IP:内部端口）→ 保存应用即可。

另外，可以借助 80KM 端口流量转发程序，搭建流量中转节点，所有外网访问经过节点再回源，彻底隐藏真实 IP。支持 80、443 常用网页端口，兼容各大系统。