【求助】问大家：我的服务器现在用IP加端口能访问，直接刷，刷不到，怎么回事啊！

lu0007

Post by 人本自由
我晕，就是服务器端防火墙的问题，我可以肯定

大哥，我防火墙删了啊，没有了！

ds2002

不用实验了，内网建的服务器不能在公网刷出来，我以前试了很多次，都不成功，我认真想了下，认为原因如下，请各位指教。

为什么呢？ 因为服务器程序首先会检测你的机器网卡地址，并把这个地址发送到验证服务器注册，如果验证服务器通过，就会在公网上刷出来。但验证服务器收到的是你内网的IP，所以不可能通过验证。

如果你用+ IP参数指定为外网地址，这时服务器程序找不到这个IP的网卡，回提示出错。

真的没办法了么？办法是有，就是太麻烦，不值得了。在你的服务器和路由间在加一个路由器，这样设置你的服务器IP为公网IP（如220.X.X.X)，这样应该可以，具体设置略。
---------------------------------------------------------------------------------------

但有人说“我在内网建的服务器，公网可以刷出来啊”。如果你的CS服务器是双网卡，一个网卡接内网，另一个网卡接外网络，这样在参数指定服务器IP为外网卡地址可以刷出来，且内网外网都可以进去玩。

nightbird

楼上的，我的服务器就是单网卡的，而且是内网的IP，直接通过路由器影射出去的，一样能刷到，这又如何解释？

leekk

Post by lu0007
DMZ主机，让一台计算机完全暴露给Internet，以实现特殊应用
DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立，有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做Service Network，因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。
管理这样的机子，不是很是麻烦啊，好处虽然有，麻烦也多多啊！
况且兄弟也确实是没有这技术，及耐心去看着这不安全的东东！
愿上天保佑你永远找不到真理
兄弟，你是不是也太狭隘了啊！ :10:

你所指的是一般人们的认识，现在我也引用其他网站上对DMZ主机的说法，提供一下参考！

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。网络结构如下图所示。

    网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。称“非军事区结构模式”。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如下图所示。

    DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。
    在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。

以下的是来自LinuxAid 技术支持中心对DMZ主机的部分解释：
    针对不同资源提供不同安全级别的保护，可以考虑构建一个叫做“Demilitarized Zone”（DMZ）的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。
:12:

leekk

Post by nightbird
DMZ是把服务器完全暴露在INTERNET上了，一点保护也没有，不推荐。

服务器当然要暴露在INTERNET上，不挂到网上客户端怎么访问你的资源？？服务器接上了网络就已经存在风险，不然为什么会有那么多的防火墙产品？
本来游戏服务器的风险并不太大，当然不排除有人恶意破坏，试问现在世上有不可攻破的服务器吗？有是有的，不接上网络的就不会被人攻破。
DMZ主机可以装上防火墙，一样可以打上安全的补丁，和一般的服务器挂到网上并不是太大的区别。

ds2002

Post by nightbird
楼上的，我的服务器就是单网卡的，而且是内网的IP，直接通过路由器影射出去的，一样能刷到，这又如何解释？

你是通过什么上网的?是虚拟拨号的ADSL么。如果是，在你拨号后你的机器已经有公网的IP了

你可以按以下方法查看自己的IP
windows下，在DOS命令行输入IPCONFIG 后回车，查看有没有公网的IP(linux下 输入ifconfig)

如果你和楼主一样是光纤接入，服务器在内网，通过路由的DNAT对外网提供服务，请和我交流，我也想知道为什么你可以在internet上刷到。

nightbird

Post by ds2002
你是通过什么上网的?是虚拟拨号的ADSL么。如果是，在你拨号后你的机器已经有公网的IP了

你可以按以下方法查看自己的IP
windows下，在DOS命令行输入IPCONFIG 后回车，查看有没有公网的IP(linux下 输入ifconfig)

如果你和楼主一样是光纤接入，服务器在内网，通过路由的DNAT对外网提供服务，请和我交流，我也想知道为什么你可以在internet上刷到。

我的CS服务器挂在网吧，是光纤接入的，用的内网IP，192.168.XX.XX，使用路由映射，原先也刷不到，后来换了一个专业一点的路由器，加了 sv_lan 0　就刷到了，不知道你们用的路由器怎样？我觉得会不会跟路由器有关系。

nightbird

Post by leekk
服务器当然要暴露在INTERNET上，不挂到网上客户端怎么访问你的资源？？服务器接上了网络就已经存在风险，不然为什么会有那么多的防火墙产品？
本来游戏服务器的风险并不太大，当然不排除有人恶意破坏，试问现在世上有不可攻破的服务器吗？有是有的，不接上网络的就不会被人攻破。
DMZ主机可以装上防火墙，一样可以打上安全的补丁，和一般的服务器挂到网上并不是太大的区别。

那么我问一下：你把服务器放在DMZ区安全呢还是放在内部网络内更安全呢？　没有了防火墙的防护，那服务器是不是更危险？
你说游戏服务器的风险不大，那以前那个专门的DOS攻击软件搞死了多少CS服务器？这还是人为的，各种各样的病毒呢？做成DMZ，服务器所有的端口都暴露在互联网，你说再在服务器上装软件防火墙，问题是本身就已经有硬件防火墙的话，为什么还要再装软件防火墙？岂不是画蛇添足？而且软件防火墙再怎么样也没有硬件防火墙安全吧？
如果按照你的说法，那不如去掉防火墙和路由器，直接让服务器连接互联网，这样绝对不会说刷不到服务器。

johndoe

在valve的主页上有讲，只需要打开27015的映射就可以了。参数方面，不要加上 -nomaster 和+sv_lan 1 就行。另外，server.cfg 中，sv_region 4 也是必要的!

不建议开dmz主机，这样容易被攻击。

我网吧的服务器就是这样在路由器上设置了，服务器可以被刷到，我们用的是百兆光纤，ping不错，只是服务器有点慢，呵呵，不是专用的。

附上官方资料

Q: I am behind a firewall or router. What ports need to be opened or forwarded for hlds?
A:
UDP: 27015 (default HLDS & SRCDS port)
UDP: 27020 (default HLTV port)
TCP: 27015 (SRCDS Rcon port)

No other ports are required. Though some routers are just plain crappy.


除非要开HLTV，不然只需要打开27015的tcp/udp访问就行了。

Q: Why doesn't my server appear on the steam lists?
1) Router problems
2) Filter Problems. You may have your bame-browser filters set incorrectly.
3) sv_region problem. By default sv_region is set to 255. It may not appear on any steam lists with that setting.

here's natural-selection's server.cfg

nsp/server.cfg wrote:


// Must specify sv_region, or it won't show up in Steam server browser
// 0: US East coast
// 1: US West coast
// 2: South America
// 3: Europe
// 4: Asia
// 5: Australia
// 6: Middle East
// 7: Africa


sv_region 4 因为 cs1.6刷新的时候，一船是刷亚洲的吧。。。呵呵，默认值是255，这样的话，server是不会显示在steam list中的。

leekk

Post by nightbird
那么我问一下：你把服务器放在DMZ区安全呢还是放在内部网络内更安全呢？　没有了防火墙的防护，那服务器是不是更危险？
你说游戏服务器的风险不大，那以前那个专门的DOS攻击软件搞死了多少CS服务器？这还是人为的，各种各样的病毒呢？做成DMZ，服务器所有的端口都暴露在互联网，你说再在服务器上装软件防火墙，问题是本身就已经有硬件防火墙的话，为什么还要再装软件防火墙？岂不是画蛇添足？而且软件防火墙再怎么样也没有硬件防火墙安全吧？
如果按照你的说法，那不如去掉防火墙和路由器，直接让服务器连接互联网，这样绝对不会说刷不到服务器。

      服务器是开放的无论是放在内网外网一样不安全，网络上用不用路由器是使用网络的用户所决定，并非一定要用路由器，防火墙的并不一定也需要。很多做出租游戏服务器的ISP的服务器上也没有安装防火墙，有防火墙并不就代表着不会比人入侵，想服务器安全的是最高的安全权限加上最少的用户，当然服务器的操作系统有漏洞这是另当别论，就算有防火墙也可能给人入侵的可能性。
    就以前专门攻击CS服务器的DOS软件，你就算把服务器放在三层防火墙下都可以把你的服务器当掉，根源还是要在CS服务器的软件漏洞上下手。
    游戏服务器本来就是免费给玩家们娱乐的，所以我认为游戏服务器和一般的WEB服务器和一般的FTP服务器一样并不存在很大的风险，如果你偏要喜欢把游戏服务器和你重要的数据文件服务器或电子商务服务器放在一样的，只能说这是你的选择。
    DMZ主机的主要用途上面的贴子里面我已经有引用过，如果大家认为没有这个必要的可以不看，这些贴子只是一个提供参考的方法，并非一定就要你用这些方法来做。当自己用过很多方法都搞不好的，不防看看人家的解决办法，也许自己就会想到更好的办法！ :em18: