想从外网访问家里NAS，输入公网IP加端口，浏览器却一直转圈，最后提示无法连接。我反复确认NAS本身正常，局域网内访问没问题，问题肯定出在路由器端口转发上。这次排查让我发现，一个看似简单的设置，坑点其实不少。

第一步：确认公网IP是否真实。我登录路由器WAN状态，看到IP是100.64.x.x，心里一凉——这是运营商的大内网IP，根本没有公网地址。申请公网IP后，IP变成218.x.x.x，但测端口仍然不通。继续查。

第二步：检查端口转发规则。我在路由器管理页面添加了TCP 5000端口的转发，指向NAS的局域网IP 192.168.1.100。看似没问题，但我漏了最关键的一点：NAS的局域网IP必须是静态的，不然DHCP租约到期后IP变了，转发自然失效。我给NAS绑定了静态IP，但问题还在。

第三步：测试防火墙和DMZ。我临时开启了DMZ指向NAS，外网居然能访问了！说明问题在端口转发规则本身。我仔细对比规则：外部端口和内部端口我写反了，外部端口填了5000，内部端口填了5001，而NAS的Web服务默认是5000端口，这下才改对。原来端口转发还有内部端口和外部端口之分，不仔细就会弄错。

这次经历让我总结出几个要点：一是公网IP是前提；二是NAS要设置静态IP；三是端口转发规则里的内部端口必须和NAS服务端口一致；四是可以先开DMZ快速定位问题。另外，有些路由器还有“端口触发”或“UPnP”功能，如果同时启用可能会冲突，建议只用一种。

问：端口转发设置后外网无法访问，如何快速排查？

答：先确认WAN口获取的是公网IP（非100.64.x.x或10.x.x.x）；然后检查NAS或服务器是否使用静态IP，且与转发规则中的IP一致；接着测试DMZ（临时开启，指向目标设备），如果DMZ能访问则说明规则有误；最后核对端口号是否填写正确，特别是外部端口和内部端口的差异。

问：为什么我的NAS设置了端口转发，局域网内能用，外网却连不上？

答：最常见的原因是运营商分配了大内网IP（CGNAT），导致外网无法直连。另外，路由器防火墙可能阻止了外部连接，或者端口转发规则中的内部端口与NAS服务端口不匹配。还有可能是NAS的防火墙或安全策略限制了外网访问，建议先关闭NAS防火墙测试。

问：端口转发和DMZ有什么区别？我该用哪个？

答：端口转发仅开放指定端口给内网某台设备，精确且安全；DMZ则把内网一台设备完全暴露给外网，所有端口都开放，安全风险较高。建议优先使用端口转发，只开放必要的端口。如果临时测试或设备需要大量端口（如游戏主机），可考虑DMZ但配合设备自身防火墙使用。