首先，当我们的网站建立在内部服务器的时候。基本都是在路由上面做了端口映射。这样网外用户就可以通过DNS解析访问路由的公网地址。然后通过映射再转到Web服务器上。但内部主机却无法通过域名访问。这又是什么情况呢？

举个简单的例子： 

公司内一台主机192.168.0.2建了个WEB服务器端口为80，然后在路由上对其做了映射（假设外网IP为210.5.100.50).内网用户（比如192.168.0.3）要求访问210.5.100.50的80端口。根据它掌握的路由表，它本身是不知道210.5.100.50在哪里。所以，将这个包发送给了网关，也就是192.168.0.1。 

注意：这个数据包的源地址是192.168.0.3、假设源端口是1025，目标地址是210.5.100.50、目标端口是80、SYN标志为1、这是建立TCP连接的第一次握手。 

（因为192.168.0.3不知道210.5.100.50到底在哪，所以想它的网关发送了数据包。目标地址是210.5.100.50。但目标MAC却是192.168.0.1的） 

电脑192.168.0.1接到这份数据包（因为它是路由器，所以它允许接收和转发目标地址不是自己、MAC地址却是自己接口MAC地址的数据包），它分析这个数据包目标地址，发现是需要中转到192.168.0.2：80上去的，于是就把数据包发给了192.168.0.2：80 

注意：数据包到此，已经产生了变化。源地址是192.168.0.3 源端口是1025。目标地址变成了192.168.0.2、目标端口80。SYN为1。 

192.168.0.2接到数据包就立即做出了回应。发送一个数据包给电脑192.168.0.3。这个数据包，源地址是192.168.0.2、端口80。目标地址192.168.0.3、端口1025 SYN为1 ACK为1。这是TPC建立的第二次握手。 

而192.168.0.3 却想不起什么时候给它发了SYN请求。于是认为这个包是错误的。然后丢弃。直到192.168.0.2等到连接超时。这才宣布连接失败。 

说得有点复杂，不过举个例子就很简单了。比如我想找一媳妇，但是不知道上哪找。于是我去了婚介所。婚介所根据我的要求去找了一个女孩女孩呢想约我出来见面。但她却没让婚介所告诉我，而是找到我电话。发个短信：小哥，出来吃个饭，认识下呗。我肯定不知道这个号码是谁的。于是想，不是发错了就是坑人的。哪那么好的事。所以就没回。那女孩等了半天。就觉得，这男人咋拽得跟二五八万似的。短信都不回！算了。估计不是什么好东西！ 于是，我的婚姻宣布破产，恩 就是这样！