家里装了NAS,想从外面访问却总是连不上,提示“连接超时”。路由器也做了端口映射,IP和端口都对,防火墙也关了,问题到底出在哪?这时候别急着重启设备,试试抓包,直接看数据到底卡在哪儿。
抓包前先理清楚链路
典型的外网访问内网服务路径是:外网客户端 → 公网IP → 路由器端口映射规则 → 内网设备(比如NAS或摄像头)。任何一个环节断了,都会导致连接超时。光看“连不上”三个字,没法判断是网络不通、映射没生效,还是目标机器拒绝响应。
举个例子,小李在家设置了8080端口映射到内网Web服务器,手机用4G网络访问自己家的公网IP:8080,结果浏览器转圈半天报“连接超时”。他以为是运营商封了端口,其实是他自己家路由器根本没正确转发,而这个问题,靠ping和telnet都查不出来。
用Wireshark抓包定位问题
在内网服务器上打开Wireshark,过滤目标端口,比如tcp.port == 8080。然后从外网发起连接。如果抓不到任何数据包,说明请求压根没到达内网主机——问题出在前面。
这时候去路由器上抓WAN口的数据。如果在公网侧能看到SYN包进来,但内网侧没看到转发出去,基本可以确定是端口映射规则没生效。可能是协议选错了(TCP写了UDP),或者内部IP填错了,甚至有些老旧路由器不支持“回流”访问,也就是从外网IP访问自己家的服务,在局域网里就会失败。
典型抓包现象对照
情况一:外网发了SYN,内网没收到。Wireshark啥也没抓到。原因可能是防火墙拦截、ISP屏蔽端口,或映射配置错误。
情况二:内网收到SYN,也回了SYN-ACK,但外网收不到。这时候看路由器WAN口是否把返回包正确NAT出去。常见于某些动态IP环境下SNAT规则异常。
情况三:三次握手完成,但后续数据传输出问题。可能是应用层崩溃,或中间有TCP reset。这时候抓包会看到RST包,得检查服务进程是否正常运行。
动手改规则,别光猜
有一次,一位用户反馈明明映射了3389端口做远程桌面,但从公司连家里就是超时。我们让他在NAS上抓包,发现完全没收到SYN。接着登录路由器,在WAN口抓包,发现SYN到了,但没转发。检查规则发现,内部IP写成了192.168.1.100,实际设备却是192.168.1.105。改完立竿见影。
还有一次,规则是对的,但用的是“自动获取公网IP”的DDNS服务,某次拨号后公网IP变了,但路由器没及时更新映射绑定,导致新连接被转发到旧IP。抓包显示SYN进了WAN口,但内网没人响应——因为那台旧IP设备已经离线。
附一个实用抓包命令
如果你习惯命令行,可以用tcpdump快速筛查:
tcpdump -i any -n port 8080加上-vv能看到更详细信息,比如标志位、TTL等。如果看到SYN进来但没回应,重点查转发规则;如果SYN都没进,查上游网络或防火墙。
抓包不是高手专属技能,它是排查网络问题最直接的眼睛。下次遇到连接超时,别再盲目重试,抓个包看看,往往一眼就能看出症结所在。