我之前帮朋友搞定过同款Sagemcom Broadband SAS路由器的端口转发问题，结合踩过的坑给你梳理一套排查和配置步骤，你可以一步步来：

1. 先给目标设备绑定静态IP #

• 登录路由器后台（地址一般印在路由器底部标签，比如192.168.1.1或192.168.0.1），输入管理员账号密码。
• 找到DHCP设置（可能在“网络”或“高级设置”菜单下），选择“地址保留”或“静态IP分配”。
• 找到需要端口转发的设备的MAC地址，绑定到一个固定的内网IP（比如192.168.1.100），保存配置。

注意：如果设备IP是动态的，重启后会变化，之前的端口转发规则就会失效，这是最常见的问题之一。

2. 正确配置端口转发规则 #

Sagemcom的端口转发功能一般叫“虚拟服务器”或“端口转发”，位置可能在“高级设置”->“网络”->“端口转发”：

• 点击“添加规则”，填写以下信息：
  • 外部端口：你要开放的公网端口（比如22，或者你测试用的其他端口）
  • 内部端口：目标设备上服务监听的端口（SSH默认是22，如果没改就填一样的）
  • 协议：选择TCP（SSH用TCP），如果不确定可以选TCP/UDP
  • 目标IP地址：刚才绑定的静态内网IP（比如192.168.1.100）
  • 状态：一定要设为启用
• 保存规则，部分型号需要重启路由器才会生效。

3. 本地验证服务是否正常 #

先排除设备本身的问题：

• 在目标设备上，检查服务是否在监听端口：
  • Linux/macOS：执行netstat -an | grep 22，如果看到LISTEN状态的记录，说明服务正常运行。
  • Windows：打开命令提示符，执行netstat -ano | findstr :22，查看是否有监听记录，对应的PID是否是你的SSH服务进程。
• 用同一局域网内的另一台设备，尝试连接目标设备的内网IP:端口（比如ssh user@192.168.1.100 -p 22），如果能连接，说明服务没问题，问题出在路由器或网络层面。

4. 确认路由器WAN口是否为公网IP #

这是很多人忽略的关键点：

• 在路由器后台查看WAN口IP地址（一般在“状态”或“网络信息”菜单）。
• 对比路由器WAN口IP和你通过浏览器搜索到的公网IP：
  • 如果两者不一致，说明你的网络用了CGNAT（运营商级NAT），运营商给你的是内网IP，没有独立的公网IP，这种情况下端口转发完全无效，必须联系运营商申请公网IP。
  • 如果一致，继续下一步排查。

5. 排查ISP端口封锁或限制 #

很多运营商会封锁常见端口（如22、80、443），防止用户搭建公共服务器：

• 尝试用一个不常见的端口（比如2222、3000）重新配置转发规则，再测试。
• 如果换了多个不常见端口还是无法检测到开放，建议联系运营商确认是否有端口封锁政策。

6. 临时测试DMZ（谨慎使用） #

如果以上步骤都无效，可以临时开启DMZ功能来排查：

• 在路由器后台找到DMZ设置，将目标设备的静态IP设为DMZ主机。
• 再次用端口检测工具测试，如果此时端口显示开放，说明之前的端口转发规则配置有误（比如协议选错、IP填错等）；如果还是关闭，说明问题出在ISP或设备本身。

注意：DMZ会把设备完全暴露在公网，测试完成后一定要关闭，避免安全风险。

7. 重启路由器和设备 #

最后，重启路由器和目标设备，确保所有配置生效，再重新测试端口开放情况。

内容的提问来源于stack exchange，提问作者Thomas