NAT回流,内网主机无法通过外网IP访问内网服务器问题

最新推荐文章于 2025-03-28 11:07:47 发布
最新推荐文章于 2025-03-28 11:07:47 发布
阅读量1.2k 收藏 8
点赞数 9
分类专栏: 数据中心运维实战 文章标签: tcp/ip 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guganly/article/details/145874292
版权

记录某客户内网主机无法通过外网地址访问内网服务器问题的解决方法

一、问题起因
某天客户内网任意主机不能使用自已的公网IP访问自己,其它设备均可正常访问。是不是NAT回流问题?
[图片]

二、原因分析

  • 经过分析,原因就是做好端口映射以后,内部服务器通过外网IP访问内部server的时候流量没有回流到防火墙导致的。

  • NAT回流是什么?NAT回流是指服务器提供NAT映射,即满足公网用户通过公网地址访问;也满足内网用户通过公网地址访问,内网用户访问的数据能正常返回就是数据回流功能。出现Nat回流这是正常现象,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的。

三、解决办法
1、全局NAT地址转换。这一步主要是为了让内网用户可以正常访问外网用的。

nat-policy interzone trust untrust outbound #注意NAT策略方向
policy 0
action source-nat #是做源地址转换
policy source 10.11.10.0 mask 255.255.255.0 #匹配内网所有主机ip
easy-ip GigabitEthernet0/0/1 #将源地址转换为防火墙GigabitEthernet0/0/1接口的ip地址

2、端口映射:(略)

nat server 0 protocol tcp global X.X.X.X ip inside X.X.X.X ip

3、创建地址池

nat address-group 1 X.X.X.X X.X.X.X #ip地址为X.X.X.X-X.X.X.X

ps:以上三步之前都已经做过,现在主要做下一步解决nat回流的问题
4、做域内NAT,注意和上面第二步NAT的区别,策略方向不一样

nat-policy zone trust
policy 1
action source-nat
policy source 10.10.11.0 mask 24 #这里匹配需要通过公网访问的所有内网主机ip
policy destination X.X.X.X mask 32 #这里目的ip是映射的外网地址
address-group 1 #匹配以后,将源地址转换成这个地址池里的地址

按理再做完这一步以后,nat回流的问题就应该解决了,但是实际情况是并没有生效。有人说是防火墙bug,经过深入查找相关资料后,借鉴了一位网友的经验增加了以下映射,在源地址转换里面的目的区域加上了Untrust,在目的地址里把外网IP也加进去,然后就工作正常了。
在这里插入图片描述

nat端口回流
qq_44718856的博客
03-15 7179
内网用户通过NAT地址访问内网服务器 1. 组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过...
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 1963
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
NAT回流,解决内网主机无法访问内网服务器问题
yao12_的博客
08-29 9489
解决内网主机无法通过公网地址或域名访问内网主机问题
内网服务器无法通过公网地址访问映射到公网的内网服务
最新发布
liudong124521的博客
03-28 1465
服务器1上运行了一个业务系统,地址是192.168.101.111:80,然后在出口防火墙上做了映射,将其映射到了124.5.5.5:10080,此时,外部网络环境中可以正常访问124.5.5.5:10080,但是在内网环境中,如服务器2上,无法访问124.5.5.5:10080。也就是说内网服务器无法通过映射后的公网地址访问内网服务。
NAT回流
weixin_34367257的博客
09-24 215
nat回流问题,但待解决。下面是截图。 在内网环境下,A可以通过内网地址192.168.1.1访问B服务器内网IP 192.168.2.1.但A不能通过公网IP访问B。待解决问题,希望看到的人能给予帮助。 转载于:https://blog.51cto.com/c371193852/672775...
不能用公网地址访问内网服务器的详解
eseries
07-14 751
                                                 -->究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
NAT回流 - 内网使用公网ip访问内网服务器无效
m15151850711的博客
12-18 9581
场景:在!家里!(默认电信猫,企业部署的网关经配置可解决)内网搭建了一台服务器,地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内网有台设备想通过访问1.1.1.X,但是发现无法访问。 原因:1、表面上看,家庭环境下,nat转换发生在网关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说成区域上。 2、对于网关设备,分为进域和出域,域又包括网关上的各类网络接口组。一般网关如电信猫,nat的触发(包括nat条目)设置在出
nat回流的思考
weixin_34014277的博客
01-28 4271
nat回流的思考: 目前大多数企业网都存在nat回流现象,但是现在防火墙都能自动识别nat回流(所谓自动识别就是防火墙有dnat表),所以来回方向都经过防火墙的数据nat回流是不会造成影响的。或者也能通过dns服务器解决,内网访问时直接将域名映射到内网地址。 但是当企业网比较大,防火墙下部有核心时,就会经常出现服务器返回数据不经过防火墙(服务器客户端在同一...
NAT后网络回流造成内网无法通过公网IP访问应用服务器
weixin_33739646的博客
09-26 3273
统而言之,通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境,因为这样会使报文来回的路径会不一致或其它原因,导致访问中断。 一、思科设备示例 1.1Router示例 Router(config)#interfacee0/0...
routeros端口映射内网无法访问自身公网IP问题(环回).doc
01-06
总结来说,解决RouterOS端口映射内网无法访问自身公网IP问题的关键在于:一是正确设置目的地NAT以允许外部访问,二是设置源NAT以处理内网到公网的访问请求。通过这两个步骤,无论你身处内网还是外部网络,都能顺利地...
内网客户 通过 公网域名/ip 访问内网web服务器 出错
热门推荐
centos的博客
10-18 1万+
在一内部局域网中, client  内网地址为 10.0.0.2     web  服务器内网地址为 10.0.0.1    外网地址为  211.6.15.1    域名为  xx.love.com 问题:在内网10.0.0.2的机器上访问   外网地址 211.6.15.1 或者域名  xx.love.com  都无法访问,  解
如何通过华为AR路由器配置端口回流和端口映射,使内网服务器能够被外网用户访问
11-25
这样配置之后,内网服务器就可以通过指定的外网IP和端口被外网用户访问。为了更深入理解这一过程和相关网络知识,建议参考《华为AR路由器Web配置端口回流与映射图文教程》,该教程详细介绍了华为AR系列路由器的Web...
内网是如何访问到互联网(H3C源NAT
网络之路Blog(其他平台同名)
08-02 686
通过display nat session verbose可以查看详细的会话信息,华三的NAT会话表比华为的相对要详细些,这里有一个比较有趣的事,ICMP它是IP层的一个协议,并没有端口号的,但是在网络设备里面,经过NAPT后,设备会给它加上一个端口号,这样的好处是在内网有多个终端去ping同一个地址的时候,返回能够正常的还原。在核心上面 telnet 互联网设备的地址,现在是登录失败,这个没事,主要看看NAT的会话信息。测试是通的,PC1目前是192.168.10.1。开启抓包​​​​​​​。
内网访问Web服务器受限原因及解决:回流问题解析
然而,如果防火墙或路由器配置不支持这种内向转发(即回流),它可能不会将来自外网的数据包转发回内网,导致内网用户无法通过映射的公网地址访问内网服务器。文档接下来可能会深入分析如何解决这个问题,比如检查...
内网的用户不能用外网IP访问内网
weixin_34361881的博客
11-05 1545
一般普通路由器只要做完端口映射,NAT是不需要设置的,稍微高级点的路由器,就需要配置一下了。然后就可以访问了。   下面是网站找的说明:(下面的说明都2007年左右,原理没问题,不过现在所有的路由器都应该支持“回流”了) 简单说明一下:假设你的外网IP为 202.1.1.1 内网有2台192.168.1.10  192.168.1.11 做了IP地址映射  202.1.1.1:80-...
究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4473
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

guganly

喜欢就请我喝杯咖啡吧!☕️

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值