Tp-link 478路由，远程Telnet服务映射端口无法连接上

网络环境：虚拨adsl 路由nat 内网网段：192.168.168.0路由：Tp-link 478 路由器上做了：***.vicp.net的花生壳DDNS。服务器IP地址：192.168.168.1 开放8000 8006 8007 1433 6060等端口 192.168.168.0 开放5005端口出现问题：在Wan上无法Telnet服务器相关开放服务端口分析情况：1.路由上已经做了的虚拟服务器的端口映射，如下图：

2.内网检测ping/telnet均正常，此IP为一个带网络连接的设备，Ping值过大为正常的。如下图：

3.外网可ping ***.vicp.net，但无法telnet到端口。如下图：

ping的图示

　　　　　　　　　　　telnet连接图示 排除故障：　　１.检测过程中用服务器内网IP进行telent连接正常。但是换成Wan IP就不成功。　　说明服务器的开放服务端口工作正常。服务器上的防火墙的设置也是可以通过的。内网其它PC到server的端口能够正常通讯。　　２.内网也可以正常的访问公网，说明网络本身是互通的。怀疑telnet包出现在路由器的设置上面　　３.路由器开启防火墙，并开启了“攻击防护”，在测试中关闭了“攻击防护”功能，就可以正常telnet通。　　４.开启“攻击防护”，然后点击“Wan”，逐个排除里面打勾防护选项。　最终发现是因为“Land Attack”这一选项的原因，导致无法telnet。



５.取消“Land Attack”选项，然后保存，即可！ 总结：此次问题并不是很大，在此次过程中，自己也是焦急了很久，发现配置都没有问题，但是始终就是telnet不上，而没有冷静的去逐个排障，导致一个问题，花了很久时间才解决，故，下次出现此类问题，一定要做到的是“冷静”，先检查物理连接，然后检测内外网互通，最后确定路由相关设置问题。故障的出现不会无缘无故，都是有根有据的，要冷静的去排除故障。 Ps：附Lank attack的一些说明：Land 攻击发生的条件是攻击者发送具有相同 IP 源地址、目标地址和 TCP 端口号的伪造 TCP SYN 数据包信息流。必须设置好 SYN 标记。其结果是该计算机系统将试图向自己发送响应信息，而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现 Windows XP SP2 和 Windows 2003 的系统对这种攻击的防范还是非常薄弱的。事实上，Sun 的操作系，BSD 和 Mac 对这种攻击的防范都是非常薄弱的，所有这些系统都共享基于 TCP/IP 协议栈的 BSD。 　　服务供应商可以在边缘路由器的进入端口上安装过滤器对所有入内数据包的 IP 源地址进行检查，这样就可以阻止发生在会聚点后的 LAND[/b] 攻击。如果该源地址的前缀在预先规定的范围之内，则该数据包被转发，否则被丢弃。