NAT ALG DNS — DNS在内部,外网通过域名访问内部服务器

已于 2022-05-23 17:35:47 修改
阅读量1.7k 收藏 4
点赞数 1
文章标签: 网络
于 2022-05-23 17:33:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/butcherroom/article/details/124931261
版权

应用场景:

R2、R3、R4为企业内部,DNS也部署在内网,R2上设置NAT使得R1能够telnet到R4。

如在R2上启用NAT ALG DNS功能后,R1通过域名butcherroom.com访问23端口,可以成功telnet R4。

如果不开启NAT ALG DNS功能则R1无法通过域名telnet R4。

基础配置:

R1ip name-server 202.100.1.150

interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
 ip address 202.100.1.1 255.255.255.0
 duplex auto
!
R2interface Ethernet0/0
 ip address 202.100.1.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
!
interface Ethernet0/1
 ip address 172.16.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
!
interface Ethernet0/2
 ip address 192.168.31.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
!
interface Ethernet0/3
 ip address 10.1.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
!
ip nat inside source static 172.16.1.4 202.100.1.100
ip nat inside source static 10.1.1.150 202.100.1.150
ip route 0.0.0.0 0.0.0.0 202.100.1.1
!
默认配置下NAT ALG DNS功能是开启的
R3ip name-server 10.1.1.150

interface Ethernet0/0
 ip address 192.168.31.3 255.255.255.0
 duplex auto
!
ip route 0.0.0.0 0.0.0.0 192.168.31.254
R4interface Ethernet0/0
 ip address 172.16.1.4 255.255.255.0
 duplex auto
!
ip http server

ip route 0.0.0.0 0.0.0.0 172.16.1.254

line vty 0 4
 no login
 transport input all
DNS服务器接口地址:10.1.1.150
域名映射:
butcherroom.com     172.16.1.4

基础验证:

R3上TELNET域名,可以正常访问,解析到的地址为172.16.1.4:

 R1上TELNET域名,可以正常访问R4,访问的实际IP地址为202.100.1.100(映射后地址):

 同时通过对R2的E0/3和E0/0口抓包查看DNS的报文:

  • E0/3为ALG转换前的DNS报文,如下所示,解析到的地址为172.16.1.4:

  • E0/0为ALG转换后的DNS报文,如下所示,解析到的地址为202.100.1.100:

 R2上通过debug ip nat可以看到ALG转换的过程

*May 18 10:41:18.006: NAT: s=202.100.1.1, d=202.100.1.150->10.1.1.150 [0]
*May 18 10:41:18.008: NAT: DNS resource record 172.16.1.4 -> 202.100.1.100
*May 18 10:41:18.008: NAT: s=10.1.1.150->202.100.1.150, d=202.100.1.1 [11010]
*May 18 10:41:18.011: NAT: s=202.100.1.1, d=202.100.1.150->10.1.1.150 [0]
*May 18 10:41:18.012: NAT: DNS resource record 172.16.1.4 -> 202.100.1.100
*May 18 10:41:18.012: NAT: s=10.1.1.150->202.100.1.150, d=202.100.1.1 [11012]

在R2上取消NAT ALG DNS功能,查看R3是否能通过域名访问到R4:

R2(config)#no ip nat service alg udp dns

R2(config)#no ip nat service alg tcp dns

测试验证:

R3上TELNET域名,可以正常访问,解析到的地址为172.16.1.4:

R1上TELNET域名,无法正常访问R4,访问的IP地址为172.16.1.4(NAT映射前地址):

butcherroom
关注
论文研究-DNS-ALG在IPV4和IPV6互通网络中的研究与实现 .pdf
08-27
DNS-ALG在IPV4和IPV6互通网络中的研究与实现,蒙春,,IPv6将取代IPv4成为下一代互联网的核心。但在今后较长一段时间内,IPv6、IPv4网络将长期共存。在过渡时期的不同阶段,选择合理的过渡机制
NAT ALG DNSDNS在外部,内网通过域名访问内部服务器
butcherroom的博客
05-23 1125
NAT ALG DNSDNS在外部,内网通过域名访问内部服务器 应用场景: R2、R3、R4为企业内部DNS部署在公网,R2上设置NAT是的R1能够telnet到R4。 如在R2上启用NAT ALG DNS功能后,R3通过域名butcherroom.com访问23端口,可以成功telnet R4。 如果不开启NAT ALG DNS功能则R3无法通过域名telnet R4。 基础配置: R1 ip name-server 202.100.1.200 ! interf.
探讨DNS-ALG在IPV4和IPV6互通网络中的研究与实现
HNArke的专栏
03-11 3842
探讨DNS-ALG在IPV4和IPV6互通网络中的研究与实现
详解外网访问内网DDNS作用 及ddns解析软件使用方法
m0_73579103的博客
01-13 2214
详解外网访问内网DDNS作用 及ddns解析软件使用方法
NAT ALG
五山口老法师
06-10 5643
NAT ALG简介普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NAT ALG(Application Level Gateway,应用层网关)技术能对多通...
NAT alg 和 ASPF
weixin_33708432的博客
11-29 811
NAT alg 和 ASPF 参考:https://handbye.cn/719.html 来源:https://www.jianshu.com/p/8a8eb36eef7d   NAT的部署已经在企业网中必不可少,当防火墙作为网络的出口或者在网络中充当安全网关时,内网用户访问外网或者外网用户访问内网的服务器都要经过NAT穿越。 由于防火墙的特殊性,出于安全的考虑,需要建立相应的安全策略。当防...
内网服务器防火墙作用,防火墙内网用户通过公网域名访问内部服务器典型配置案例集...
weixin_35879493的博客
07-29 1720
1)防火墙开启ALG DNS功能。核心交换机配置:核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略。防火墙配置:1、在接口G0/0、G0/1、G0/2上配置相应的地址,正确配置路由和域间策略,具体配置略。2、通过PBR将PC访问公网的流量重定向至运营商A,PC访问服务器的流量不做重定向。#[F1000-E-SI]acl number 3010[F1000-E-SI-acl-adv...
【HUAWEI】NAT的现网模拟配置(包括ALG特殊配置)
u012468770的博客
07-08 5890
配置环境: 1.R2、R3、Client1、Server1配置有默认路由 2.Server1上配置有DNS、FTP服务器 配置需求: 1.R4可以通过不同的IP地址(14.14.14.102、14.14.14.103)访问内网R2、R3进行配置 2.内网Client1可以通过IP地址访问内网Server1的FTP服务器 3.内网Client1可以通过域名访问内网Server1...
内网用户使用域名访问内部服务器dns-maping)
weixin_30699465的博客
04-17 2842
内网用户使用域名访问内部服务器dns-maping) 今天突然遇到一个需求:户希望通过域名访问时位于同一私网的内部服务器,然而还不想在内网搭建一个DNS服务器。然后去华为官网查了下有一个dns-maping的功能刚好能实现这个需求(因为用户是用的华为的路由器)。 ...
华为路由器内部服务器地址映射不起作用,第一次买华为AR2204-s路由,内部服务器映射问题...
weixin_42576804的博客
07-29 1498
谢谢大大的帮助。我按照你给的配置方法,还原了出厂设置,代入输入了如下:1. 配置Router上的接口地址[Huawei] interface GigabitEthernet0/0/0[Huawei-Ethernet0/0/0] ip address 192.168.1.1 24[Huawei-Ethernet0/0/0] quit[Huawei] interface GigabitEthernet...
NAT映射和代理服务器
月已满西楼的博客
06-15 7164
一、NAT什么是NAT  NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。   这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效
【防火墙】防火墙NAT Server的配置
2301_76769041的博客
08-31 2346
介绍公网用户通过NAT Server访问内部服务器的配置举例。
锐捷防火墙(WEB)——高级功能——应用层网关ALG
最新发布
君逍遥o
09-27 3096
ALG技术配合NAT特性可支持对报文载荷的地址转换功能;配合ASPF特性可支持动态通道的检测功能,以及对应用层的状态检测功能
NAT协议+DNS协议
E_kay的博客
06-16 1279
NAT协议 地址转换协议 请求:将网络数据当中的私网的源ip地址(私网IP)转换为公网ip 应答:将网络数据当中的目的IP(公网ip)转换为私网ip NAT的特点: 1.网络被划分为私网和公网,NAT网关设置到私网到公网的路由出口位置,双方的流量都是需要经过NAT网关的2.网络访问只能从私网一端发起,公网是无法访问到私网的主机的 3.NAT网关对于请求而言,是替换源IP地址,对于应答而言,是替换目的IP地址 4.NAT网关对于双方都是透明的,双方在网络传输过程当中是无感知的; 5.NAT网关为..
网络安全---NATALG介绍
m0_67756456的博客
08-08 482
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。
关于公司内部局域网部署服务器网站,外部网络访问服务器网站分析
河北强商网络科技有限公司官方博客
03-29 969
关于公司内部局域网部署服务器网站,外部网络访问服务器网站分析 首先局域网路由器做端口映射,将路由器的 内网地址:端口号 映射到 内网服务器的内网地址:端口,这2个端口号可以相同也可以不同。我们内网服务器的各种服务,都可以通过这种端口映射来提供给外界。 我们将内网服务器的ssh的22端口映射到路由器的10022,将内网服务器的nginx监听的80端口映射到路由器的10080,将ftpd服务监听的21端口映射到路由器的10021端口,mysqld服务监听的3306端口映射到外网的13306端口等...
NAT ALG技术白皮书
weixin_34358365的博客
02-15 718
ALG技术白皮书关键摘要:ALG是一种对应用层进行处理的技术,它通过与NAT、ASPF等技术的组合应用,实现对应用层的处理和检测。本文详细介绍了ALG技术的工作机制以及典型组网应用。缩略缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层状态的包过滤DNS...
局域网服务器外网访问设置
jiaoao001的博客
05-10 4114
一、虚拟服务器端口映射 经过简单的百度,我确定了我的想法 局域网一般是通过路由器或者集线器来连接到公共网络上的 所以使用的是公共出口,也就是局域网内的大家使用同一个公网IP来访问网络 而公共网络真正连接的也就是路由器,所以当我们在局域网来访问外网时,外网所知的IP就是我们的路由器的IP 如果我们需要外网访问局域网中的我们自己的电脑时,就需要在路由器上做一个映射,用虚拟服务器的方式,将我们
企业内部DNS和公网DNS管控同一个域的配置
chenqioulin的博客
04-26 2103
在这种情况下,势必要求内部外部DNS数据同步,但往往内外网服务器不是同一个部门或者负责管理,而且外网DNS一般由DNS服务商提供管理界面运维。导致内外网DNS数据无法同步。而且就算同步,部分内网DNS 记录也不宜对外网查询。 因此对内网DNS的解析,一直是个问题。 从bind9.8开始,有一个策略响应配置参数,可以完美解决这个问题。 配置文件添加 response-policy { zone "rpz"; }; zone "rpz" { type master; file "rpz.
H3C SecPath防火墙NAT端口负载分担与DNS映射配置详解
文档还强调了DNS mapping的配置,这是为了让内网用户能够通过域名访问同一内网的内部服务器,即使DNS服务器位于外网。配置DNS mapping时,需要在外网IP地址、端口号和协议类型之间建立映射关系,以解决多条NAT服务器...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值