对外映射端口内网客户端无法通过公网地址访问

已于 2024-09-19 15:50:44 修改
阅读量2.7k 收藏 4
点赞数 9
分类专栏: 网络安全 网络配置 端口映射 文章标签: 服务器 网络安全 信息与通信 网络协议
于 2024-09-14 10:45:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzw5021/article/details/142252542
版权

问题描述:
在网络实施的过程中经常会遇见防火墙上对外映射的端口,在外网可以正常访问,在内网无法访问。
问题分析:
原因1:内网客户端通过公网地址或域名访问内网服务器,源ip地址没有做nat转换,内网服务器回包直接回给内网客户端来回路径不一致导致丢包。分析如下图:
在这里插入图片描述

解决方法:解决来回路径不一致的问题,需要再防火墙上创建一条源nat策略,trust to trust做源nat装换,源nat可以转换为防火墙内网接口ip,也可以单独创建一个nat地址池地址范围为不存在的公网地址如1.1.1.1-1.1.1.10:
原因2:安全策略中没有放开内网到内网区域(trust-to-trust),这时会话表中都没有对应的会话信息。
解决方法:在安全策略配置中添加允许trust-to-trust的安全策略。
原因3:存在策略路由将trust过来的包从指定接口转发出去了,导致无法访问。
解决方法:创建一条策略路由内网访问内网不做策略路由,放在策略路由最前列。
针对这类问题可以通过查看防火墙会话表进行分析。

补充说明:当外网存在多线路时,对外的映射端口,在外网无法访问时该映射,排查思路如下:
(1)检查映射的策略以及端口是否配置正确。
(2)检查安全策略是否放开外网访问内网的映射的端口。
(3)检查对应的公网接口下是否开启了源进源出。多外线情况下需开启源进源出。
(4)在防火墙上测试能否访问映射服务器的内网ip地+端口。
(5)如遇特定端口80,443,8080端口无法访问,是没有备案导致。
里写自定义目录标题)

内网用户通过域名或公网IP访问内部服务器的解决办法
04-23
内网用户通过域名或公网IP访问内部服务器的解决办法
NAT回流,内网主机无法通过外网IP访问内网服务器问题
最新发布
guganly的专栏
02-26 886
NAT回流是指服务器提供NAT映射,即满足公网用户通过公网地址访问;也满足内网用户通过公网地址访问内网用户访问的数据能正常返回就是数据回流功能。出现Nat回流这是正常现象,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的。按理再做完这一步以后,nat回流的问题就应该解决了,但是实际情况是并没有生效。经过分析,原因就是做好端口映射以后,内部服务器通过外网IP访问内部server的时候流量没有回流到防火墙导致的。
内部主机通过公网地址访问内网服务器配置案例
04-15
解决局域网用公网域名访问内网web服务器
究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4436
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
共享上网和端口映射
fulingfang的专栏
05-21 2369
 以下这篇文章不是写的,转自网上=========================================由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样
routeros端口映射内网无法访问自身公网IP问题(环回).doc
01-06
routeros端口映射内网无法访问自身公网IP问题(环回)的详细教程,有需要的看
使用内网穿透远程连接局域网内无法访问公网服务器
qq_39068200的博客
06-18 3488
出于安全性考虑,服务器在部署时被设置为无法访问公网。我们处于和服务器相同的局域网时,可以ssh连接服务器,但除此之外无法连接。而服务器本身没网,向日葵、teamviewer等工具就无法安装在服务器上。本文使用内网穿透技术(NAT),提供两种思路实现在任何有网络的机器上都可以ssh到局域网内的服务器
路由器端口映射公网正常访问 而局域网无法通过公网IP访问
热门推荐
MADNESS
12-19 2万+
转载:http://blog.csdn.net/yxwmzouzou/article/details/18089291 问题:在NR289-E 路由器对8010端口进行映射(虚拟服务),映射到我自己的电脑的80端口,设置成功后,但在本机上(即192.168.1.80这台PC机)访问域名和外网ip时,都是无法打开,还以为是映射不成功或是被路由器屏蔽了呢! 一直没法解决,只好因vp
内网通过公网地址访问内网服务器不通如何解决
ducanwang的博客
10-10 911
场景说明:内网用户pc1,client,ftp服务器都在trust区域。ftp服务器是在防火墙上做了映射,并且做了策略路由指定pc1和client做ips1,ftp服务器ips2。把服务器的服务映射到了防火墙上接口地址200.x.x.1的21端口。目前外网可以访问内网无法访问
网工排错日记:NAT SERVER的内网回环问题(内网用户无法访问映射公网服务器
weixin_44799797的博客
03-09 5320
NAT SERVER内网回环问题 1、问题说明: 防火墙计划对内网中某台服务器(10.1.1.2)做了NAT SERVER(映射为200.1.1.1:80),使得外网用户可以通过公网地址访问服务器;配置完成以后,发现外网用户(200.1.1.254)可以通过200.1.1.1:80访问服务器内网用户(10.1.1.1)无法通过200.1.1.1:80访问服务器。 网络拓扑如下: 2、问题分析: 1> 因外网用户(20.1.1.254)可正常访问服务器,初步判定NAT SERVER配置不存在问题。
对外映射端口内网无法通过公网ip地址访问
09-14
对外映射端口内网无法通过公网ip地址访问
H3C路由器映射内网端口公网
11-28
内网服务器映射端口公网实战配置: 内网端口通过内外网网闸映射端口,再通过路由器映射公网上 拒绝一切理论派
内网服务器做了映射还是无法公网访问,内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障分析...
weixin_36296064的博客
08-02 5620
记得很早之前有帮大学同学处理过一个内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障,记得红茶三杯老师有篇博文有做过很详细的分析,现转载过来分享给大家,原文如下:关于“内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障”,正好最近有个兄弟问到这个问题,所以稍做解析,这个案例虽然简单,但是具有一定的代表性(本例以华为防火墙做讲解,技术原理类似)。 在上图所示的网络中,PC Sta...
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题...
weixin_30376509的博客
09-19 4805
问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做...
全面分析:内部无法使用映射公网访问内部服务器的原因
oO天龙的博客
09-13 1万+
往往我们在配置完路由器将内部成功访问到外部互联网以及外部互联网能访问成功所映射服务器时,就认为已经配置完成。却忽略了仍然存在的一个重大问题:内部用户无法使用映射公网IP访问到内部服务器。下面将通过实验来分析出现这种问题的原因。 实验拓扑: 实验配置:        实验各接口配置如上图,重点来看router1(简R1)配置,如下 R1#sh run interfac
不能用公网地址访问内网服务器的详解
eseries
07-14 727
                                                 -->究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
NAT回流 - 内网使用公网ip访问内网服务器无效
m15151850711的博客
12-18 9491
场景:在!家里!(默认电信猫,企业部署的网关经配置可解决)内网搭建了一台服务器地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内网有台设备想通过访问1.1.1.X,但是发现无法访问。 原因:1、表面上看,家庭环境下,nat转换发生在网关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说成区域上。 2、对于网关设备,分为进域和出域,域又包括网关上的各类网络接口组。一般网关如电信猫,nat的触发(包括nat条目)设置在出
锐捷设备 | 部署了NAT后,内网用户无法访问外网,怎么办?
网络技术联盟站
07-27 2578
因此当出口路由器外网通信正常,但是内网用户无法外网通信(包括ping不通外网、ping得通外网但某些业务异常等),都可能是防火墙或流控设备上做了相关限制,需排查防火墙/流控设备上的配置。注意,show ip nat translation命令后必须指定对应用户的IP地址(| include x.x.x.x),否则大量的nat表项输出可能影响客户业务甚至导致设备挂死。确认PC和出口路由器之间的联通行是否正常,如果能ping通网关,但是无法ping通出口路由器,则排查网关至出口的三层连通性。
华三路由器内网ip映射公网
07-31
华三路由器内网IP映射公网是一种网络配置方式,可以实现将内部局域网中的某些设备或服务暴露到外部公网上,方便远程访问和使用。具体操作如下: 首先,在华三路由器的管理界面中,找到"虚拟服务器/Virtual Server"或"端口映射/Port Forwarding"等设置选项。 然后,点击添加新规则,在规则设置中填写以下信息: - 选择要映射的设备的内网IP地址; - 填写需要映射端口号(例如80端口); - 选择应用协议,如TCP或UDP; - 固定公网地址端口或者选择自动分配。 接下来,保存规则设置并启用该规则。此时华三路由器会将内网IP的指定端口映射公网上。 通过此配置,外部网络用户可以使用华三路由器的公网IP和指定端口访问内网设备或服务。例如,如果华三路由器的公网IP是123.456.789.0,将内网IP的80端口映射公网上,那么外部用户可以通过访问地址http://123.456.789.0:80来访问内网设备或服务。 需要注意的是,进行内网映射公网时,应确保内网设备的安全性,配置强密码和防火墙等安全措施,以防止未经授权的访问和攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值