NAT环境下,用域名访问内网的服务器

最新推荐文章于 2024-06-05 16:14:38 发布
最新推荐文章于 2024-06-05 16:14:38 发布
阅读量3.8k 收藏 7
点赞数 1
分类专栏: DNS 域名 文章标签: cisco 路由器 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phoenix1415/article/details/123939290
版权

一、实验拓扑

二、DNS设置的几种组合

DNS客户端

客户端IP

DNS服务器

服务器IP

DNS服务器解析设置

win_client1

(内网段1客户端)

192.168.43.10

Server-W-D-F

(内网真实DNS服器)

192.168.43.20

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Server-W-D-F

(映射DNS服器)

202.1.1.10

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220

www.moco.com=202.1.1.20   

win_client2

(内网段2客户端)

192.168.10.10

Server-W-D-F

(映射DNS服器)

202.1.1.10

www.moco.com=192.168.43.20  

www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220

www.moco.com=202.1.1.20   

Internet

(外网段客户端)

203.1.1.220

Server-W-D-F

(映射DNS服器)

202.1.1.10www.moco.com=202.1.1.20   

Win-DNS

(外网真实DNS服器)

204.1.1.220www.moco.com=202.1.1.20   

 三、基本设置

设备

操作系统

IP地址

网关

开放服务/DNS

win_client1

win2008R2

192.168.43.10/24

192.168.43.254

Server-W-D-F

centos7

192.168.43.20/24

192.168.43.254

web(80)ftp(21)dns(53)

win_client2

win2008R2

192.168.10.10/24

192.168.10.254

W-DNS

win2008R2

204.1.1.220/24

204.1.1.1

dns(53)

Internet

win2008R2

203.1.1.220/24

203.1.1.1

204.1.1.220

L2_SW:

vIOS_R:

interface GigabitEthernet0/0

 ip address 192.168.43.254 255.255.255.0

 no ip redirects

 ip nat enable

interface GigabitEthernet0/1

 ip address 202.1.1.1 255.255.255.0

 ip nat enable

interface GigabitEthernet0/2

ip address 192.168.10.254 255.255.255.0

 ip nat enable

access-list 1 permit 192.168.43.0 0.0.0.255

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat source list 1 interface GigabitEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 202.1.1.254

Router:

interface Ethernet0/0

 ip address 202.1.1.254 255.255.255.0

interface Ethernet1/0

 ip address 203.1.1.1 255.255.255.0

interface Ethernet1/1

 ip address 204.1.1.1 255.255.255.0

 四、过程

1、组合❶

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----192.168.43.20

域名:www.moco.com------192.168.43.20

 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:192.168.43.20

B、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->win_client1:192.168.43.10

C、win_client1:192.168.43.10->192.168.43.20(www.moco.com)

 2、组合❷

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----192.168.43.20

域名:www.moco.com------202.1.1.20

 

 NAT设备上做映射:

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable

 A、win_client1:192.168.43.10(www.moco.com)->DNS:192.168.43.20

B、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

C、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

D、202.1.1.1->192.168.43.20(NAT和端口映射)

 3、组合❸

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----202.1.1.10

域名:www.moco.com------192.168.43.20

  NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20(NAT和端口映射)

C、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->192.168.43.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->192.168.43.20(www.moco.com)

 4、组合❹

客户端:win_client1---------192.168.43.10

服务器:Server-W-D-F-----202.1.1.10

域名:www.moco.com------202.1.1.20

  NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

  NAT设备上做映射: 

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20(NAT和端口映射)

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  5、组合❺

客户端:win_client1---------192.168.43.10

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

 

 

  NAT设备上做映射:  

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client1:192.168.43.10(www.moco.com)->DNS:204.1.1.220

B、202.1.1.1(www.moco.com)->DNS:204.1.1.220

C、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->win_client1:192.168.43.10

E、win_client1:192.168.43.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  6、组合❻

客户端:win_client2---------192.168.10.10

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------192.168.43.20

NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->192.168.43.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->192.168.43.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->192.168.43.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射)

  7、组合❼

客户端:win_client2---------192.168.10.10

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 

NAT设备上做映射:  

 ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:202.1.1.10

B、202.1.1.1(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射) 

  8、组合❽

客户端:win_client2---------192.168.10.10

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

NAT设备上做映射:   

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

 A、win_client2:192.168.10.10(www.moco.com)->DNS:204.1.1.220

B、202.1.1.1(www.moco.com)->DNS:204.1.1.220

C、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->202.1.1.1

D、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->win_client2:192.168.10.10

E、win_client2:192.168.10.10->202.1.1.20(www.moco.com)

F、202.1.1.1->192.168.43.20(NAT和端口映射) 

9、组合❾

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

 NAT设备上做映射:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

 NAT设备上做映射: 

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable  

 A、Internet:203.1.1.220(www.moco.com)->DNS:202.1.1.10

B、Internet:203.1.1.220(www.moco.com)->DNS:192.168.43.20

C、DNS:192.168.43.20(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

D、DNS:202.1.1.10(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

E、Internet:203.1.1.220->202.1.1.20(www.moco.com)

F、Internet:203.1.1.220->192.168.43.20(端口映射) 

  10、组合❿

客户端:Internet---------------203.1.1.220

服务器:Win_DNS-----------204.1.1.220

域名:www.moco.com------202.1.1.20

 

 NAT设备上做映射: 

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable  

 

 A、Internet:203.1.1.220(www.moco.com)->DNS:204.1.1.220

B、DNS:204.1.1.220(www.moco.com<->202.1.1.20)->Internet:203.1.1.220

C、Internet:203.1.1.220->202.1.1.20(www.moco.com)

D、Internet:203.1.1.220->192.168.43.20(端口映射) 

 五、对比

 六、建议和优化

没有特殊要求的情况下,内网无需架设DNS服务器,使用公网的DNS服务器即可。

即便内网架设有DNS服务器,也不要将其映射到公网,然后客户端使用公网映射地址作为DNS服务器地址。

七、关于DNS rewtire:

假设公网DNS服务器解析如下:

www.moco.com->202.1.1.20

ftp.moco.com->202.1.1.30

xyz.moco.com->202.1.1.40

内网三台服务器IP地址分别为:

www.moco.com=192.168.43.20

ftp.moco.com=192.168.43..30

xyz.moco.com=192.168.43.40

内网客户端DNS设置成公网DNS服务器地址,域名解析返回给NAT设备的都是公网地址。为了让NAT设备将解析结果rewrite成内网私有地址,需要满足有以下条件:

1、开启DNS ALG(默认已开启)

2、静态一一映射

ip nat source static 192.168.43.20 202.1.1.20

ip nat source static 192.168.43.30 202.1.1.30

ip nat source static 192.168.43.40 202.1.1.40

客户端配置:

 

DNS服务器配置:

 

NAT设备配置:

 ip nat source static 192.168.43.20 202.1.1.20
ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40

验证:

DNS服务器端:

 DNS客户端:

 

改造1: 将静态一一映射改为端口映射

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable

客户端获取的域名www.moco.com的ip地址为公网IP,没有被改写成内网地址。其他域名对应的地址不变,均为内网IP地址。

改造2:关闭DNS rewrite

NAT设备上添加以下配置

no ip nat service alg udp dns

八、内网DNS服务器对外提供DNS解析服务-组合❾改造

组合9:

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------202.1.1.20

 NAT设备上做映射: 

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable no-payload

ip nat source static tcp 192.168.43.20 80 202.1.1.20 80 extendable 

改造:

假设DNS服务器域名解析出来的都是内网地址,如何将此内部地址转换成公网地址后返回给外网的客户端 

客户端:Internet---------------203.1.1.220

服务器:Server-W-D-F------202.1.1.10

域名:www.moco.com------192.168.43.30

域名:ftp.moco.com------192.168.43.40

域名:xyz.moco.com------192.168.43.50

尝试1:

ip nat source static udp 192.168.43.20 53 202.1.1.10  53 extendable

ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40
ip nat source static 192.168.43.50 202.1.1.50

结果:解析失败

尝试2:

ip nat source static 192.168.43.20 202.1.1.20------------DNS服务器
ip nat source static 192.168.43.30 202.1.1.30
ip nat source static 192.168.43.40 202.1.1.40
ip nat source static 192.168.43.50 202.1.1.50

 

DNS服务器本身解析出来的地址 

 

 

内网地址全部被改写成公网地址

DNS服务器响应的203.1.1.220的解析请求,解析结果全是内网地址。

phoenix1415
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问内网服务器.doc
06-10
访问内网服务器】是指允许内部网络用户通过特定的配置方法使用域名访问内网中运行的服务,例如www和ftp服务。这种配置对于企业环境尤为重要,因为它确保了内网资源的安全访问,同时允许内部用户享受便捷的域名访问...
内网用户通过域名或公网IP访问内部服务器的解决办法
04-23
其次,我们需要配置NAT DNS-MAP,以便让内网用户可以通过域名访问内部服务器nat dns-map www.abc.com 202.103.1.1 tcp 内网用户和内部服务器在同一个网段 在这个场景中,我们需要使用ACL来控制访问权限,并...
华为防火墙之NAT学习
weixin_54111663的博客
03-21 1485
通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。出接口地址(Easy-IP)因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口,区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
内网使用公网域名访问内网群晖NAS网站
weixin_56957163的博客
07-29 9050
内网NAS上架设网站,在内网无法直接使用域名访问,使用起来极为不便根据本地网络的实际情况,通过调整相关设备的设置,从而实现内外网都使用相同的方式来进行域名访问
NAT端口映射,实现外网访问内网服务器
最新发布
pyc68的博客
06-05 2547
本篇文章利用Cisco Packet Tracer网络模拟进行NAT端口映射,实现外网访问内网服务器
内网主机通过公网域名解析访问内网服务器,存在什么问题,如何解决?
qq_46777335的博客
09-11 3111
而通过公网地址访问的时候防火墙ALG进程会通过匹配server-map表项,修改回程会话。根本原因:DNS域名解析解析出来是公网地址,就是内网用户向外网用户发送DNS查询,外网DNS会给内网用户回复,如果防火墙上面加了DNS参数,防火墙就会监控DNS回包,如果发现DNS回包的地址是映射到内网了,那么防火墙就会修改DNS回包把answer的地址改为内网的地址。发生问题:数据通信无法实现。目的地址为服务器目标地址。将源地址转换为公网地址。
实现内网通过外网域名访问NAT映射的内网服务器
wyhappy612的专栏
02-21 1万+
大家都知道在用Huawei的中低端路由器NAT地址映射时只能支持 “外网访问” 不支持 “内网访问”。也就是说只支持NAT映射后外网IP通过外网域名(外网IP)访问NAT映射的服务器 ,不支持NAT映射后内网IP通过外网域名(外网IP)访问NAT映射的服务器, 而在实际应用中实现后者还是很有意义的,相信遇到这个问题各位800的兄弟还是可以听到用户说:“三四百块的东西能支持的,这么贵的华为设备居然
CISCO路由器设置 内网用户通过域名访问内网服务器.doc
07-05
在某些情况下,内部网络用户可能无法使用公网域名访问内网服务器,而只能通过内网的 DNS 或者 IP 才可以访问。这是由于路由器NAT 之后,内部网络用户无法使用公网域名访问内网服务器的原因。下面,我们将介绍如何...
外网访问内网服务器.docx
06-07
外网访问内网服务器全文共1页,当前为第1页。外网访问内网服务器全文共1页,当前为第1页。 外网访问内网服务器 外网访问内网服务器全文共1页,当前为第1页。 外网访问内网服务器全文共1页,当前为第1页。 比如内网...
内部主机通过公网地址访问内网服务器配置案例
04-15
描述中提到的“解决局域网用公网域名访问内网web服务器”进一步细化了问题,即如何设置网络使得内部和外部用户都能通过一个公网域名访问位于内网的Web服务器。这通常涉及到网络地址转换(NAT)和域名解析(DNS)等...
内网和外网共存时如何访问内网域名
MessiGodLike的博客
01-26 3341
刚做了一个项目,一台机器同时连接公司内网和外网,在访问内网域名时,总是访问失败,将外网断掉后,内网访问不存在任何问题。 经过网上搜索,确定问题出现在路由上,内网域名会自动被外网解析,导致内网访问失败。解决办法是增加固定路由,将内网的网段指定为内网网关解析。具体步骤如下: 打开cmd命令提示行,在cmd中输入: routeadd192.168.1.0mask255.255.255.0192.168.1.224-p 其中192.168.1.0是域名的网段;192.168.1.224是内网...
基于域名的7层转发的实现(NAT+反向代理)
08-09 1019
在公司的实际办公网中,因为出口IP只有一个,要实现对外提供服务的话就必须得做端口映射,如果有多个服务要对外开放的话,这只能通过映射不同端口来区分,这在实际使用过程中非常的痛苦(记忆困难、一一对应关系也没有规律、访问的时候还得加端口),这个痛苦的问题用表格的形式来形象的描述如下: Public IP Public Port Number In
内网用户通过域名访问内部服务器解决方案
热门推荐
邹邹s的博客
01-10 2万+
方案一:DNS-mapping 方案: 在SR6600路由器上配置DNS map功能,可以建立域名-公网地址-公网端口号-服务协议的匹配表项。当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时,接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址,主机就可以使用内网地址直接访问服务器。 方案二:利用NATNAT S
记录一次使用DDNS动态域名解析服务外网通过域名访问内网服务器服务的过程
qq_40907977的博客
03-12 5361
DDNS概念 DDNS(Dynamic Domain Name Server)是动态域名服务的缩写。  DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析。 服务原理 DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样其他上网用户就可以通过域名来进行交流。而最终客户所要记忆的全部,就是记住动态域名商给予的域名即可,而不用去管他们是如何
内网主机无法通过域名访问内网服务器的解决方案2
Bungehurst
06-02 7763
现在假设我们已经配置好服务器域名DNS解析且已经将服务器端口转发到公网上。我们发现位于公网的主机可以通过域名成功访问服务器,但是内网主机却无法使用域名访问位于内网服务器。这是由于,当内网主机发送的和接收的TCP握手信息指向不同的IP,这就导致TCP无法建立连接。 那么,如果我们在防火墙中设置一层中转,将PC发出的............
内网穿透之FRP,域名访问本地服务【只看这篇就够了,收藏必备】
整天梦游的小jerry
12-23 6899
FRP(Fast Reverse Proxy)是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。在带有公网 ip 的云服务器上部署 frp 的服务端 frps在需要穿透的内网服务器上部署 frp 的客户端 frpc每个客户端都会有一个配置文件用于和服务器连接。
外网用户通过域名访问公司内网某些网页服务
weixin_44304678的博客
01-26 2267
1.配置防火墙端口映射,将内网服务映射到公司出口 配置了nat server后防火墙的安全策略要放行。我这个默认允许所有流量通行,不做配置。 2.配置外网主机hosts文件,路径为C:\Windows\System32\drivers\etc\hosts。 添加两条域名映射,需要访问几个就添加几个 61.139.2.5 www.aaa.com 61.139.2.5 www.bbb.com 现在外网主机访问www.aaa.com,就可以访问内网服务器的网页服务。 ...
ensp 通过域名访问服务器
感受新时代,争做新青年的博客
01-09 629
先双击DNS服务区,依次点击服务器信息;DNSServer;再在主机域名输入:www.taobao.com,IP地址输入:192.168.2.20;对www.baidu.com服务器与www.taobao.com服务器的配置进行完善。再在基础配置里完善配置。
ipv6外网访问内网服务器
09-15
IPv6是下一代的互联网协议,相对于IPv4来说,它提供了大量的IP地址,使得每个设备都能够拥有独立的地址。在IPv6环境下,外网访问内网服务器相对而言更加简单和方便。 首先,内网服务器需要获得一个公网IPv6地址才能够被外网访问到。这可以通过互联网服务提供商(ISP)或者其他IPv6地址服务提供商获得。一旦获得了公网IPv6地址,就可以将其分配给内网服务器。 其次,需要在路由器或者防火墙上进行相应的配置。由于IPv6的地址数量庞大,一般不会出现地址的短缺问题,因此没有必要进行网络地址转换(NAT)。但是,需要进行端口转发(Port Forwarding)的配置,以确保外网请求能够正确到达内网服务器。 然后,需要正确设置服务器的防火墙规则。确保防火墙允许外部的IPv6请求流量进入内部网络,并将请求正确地路由到内网服务器。同时,也需要考虑服务器的安全性,设置适当的安全措施,例如访问控制列表(ACL)等,以防止潜在的攻击。 最后,为了方便外网访问内网服务器,可以使用DNS(域名系统)服务将内网服务器的IPv6地址映射到一个易于记忆的域名上。这样,用户只需要输入域名即可访问内网服务器,而无需记住复杂的IPv6地址。 总的来说,IPv6环境下外网访问内网服务器相对简单,主要需要获得公网IPv6地址、进行端口转发配置、设置防火墙规则,并使用DNS服务提供域名解析。通过这些步骤,用户就能够方便地访问内网服务器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值