家里装了个监控摄像头，需要在外面随时查看画面。按照说明书在路由器里设置了端口转发，把外部端口8080映射到摄像头的内部IP 192.168.1.100:80。保存后兴冲冲在手机切换4G测试，结果网页一直转圈，打不开。反复核对端口号、IP地址和协议类型，都没错，难道设备坏了？

排查的第一步，先确认摄像头本地是否能访问。用同一局域网内的电脑打开浏览器，输入http://192.168.1.100，画面正常出现，说明摄像头没问题。第二步，检查外网能否触达路由器。我找了一个在线端口检测工具，填上家里的公网IP和端口8080，结果显示“端口关闭”。这不对劲，转发规则明明已经添加了。

想到可能是路由器自带的防火墙默认拦截了入站流量。进后台翻了一圈，在“安全设置”里找到了“SPI防火墙”选项，默认是开启的。尝试暂时关闭防火墙，再用端口检测工具一扫，瞬间变成“端口开放”。4G网络下访问http://公网IP:8080，监控画面流畅显示。终于找到元凶——防火墙规则过滤掉了所有未经请求的入站连接，即使端口转发已经配置。

第三步，为了安全不能长期关防火墙，我在防火墙选项里找到了“允许入站连接”的白名单功能，把需要转发的端口加入例外列表。保存后再次测试，端口保持开放，摄像头正常远程访问。这次实测让我意识到，端口转发不生效时，除了检查IP和端口，千万别忽略路由器的内置防火墙。

问：端口转发设置正确但外网无法访问，除了防火墙还有哪些常见原因？

答：常见原因还包括运营商分配了内网IP（如100.64.x.x），导致外部无法直接穿透；或者路由器上开启了DMZ主机与端口转发冲突；另外一些光猫在桥接模式下也会带有自己的防火墙，需要登录光猫后台放行对应端口。

问：如何快速判断端口转发是否被路由器防火墙阻挡？

答：可以临时关闭路由器上的防火墙（如SPI防火墙、DoS防护等），然后用外网端口检测工具测试。如果关闭防火墙后端口开放，说明是防火墙拦截；如果依然关闭，则需要排查光猫防火墙或运营商是否分配公网IP。

问：路由器没有单独的防火墙开关，怎么处理？

答：有些路由器将防火墙集成在“安全设置”或“访问控制”里，可以尝试将端口转发规则设置为“允许所有来源”或增加一条“入站允许”规则。如果还是没有，可以升级固件或更换支持更细粒度防火墙配置的路由器。