端口回流

最新推荐文章于 2024-07-30 10:47:19 发布
最新推荐文章于 2024-07-30 10:47:19 发布
阅读量2.8k 收藏 12
点赞数 4
原文链接:http://www.cnblogs.com/gaoyuechen/p/10642167.html
版权

思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题

 

问题产生原因分析:
 
网络环境介绍:
公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。
做法是在防火墙的出口,做一条端口映射,100.100.100.100:80到192.168.100.100:80的端口映射。
问题来了,做好端口映射以后,其他外部网络通过域名访问公司的web服务是正常的,但是公司内网用户通过域名访问公司自己的web服务,却无法访问;而公司内网用户通过192.168.100.100:80私有地址访问,是正常的。这种情况,就是因为做好端口映射以后,访问web服务的流量在响应的时候流量没有回流到防火墙导致的。
 
原因分析:
如上图,假如是192.168.10.10通过申请的域名访问192.168.100.100的web服务。这里假设访问的源端口是10000,目标端口是80,数据包分析如下:
C2主机发起web请求.因为通过域名访问的,DNS解析服务正常,那么访问目标就是100.100.100.100:80
192.168.10.10:10000--->100.100.100.100:80
 
数据包最终会被路由到防火墙上,防火墙检查访问的目的地址,匹配到它的端口映射策略,将目标地址改为对192.168.100.100的访问,建立起一个针对目标ip地址转换的NAT会话表
192.168.10.10:10000--->192.168.100.100:80
 
然后数据包到会被转发到192.168.100.100服务器上并会响应192.168.10.10主机的请求,将上述访问的源目ip地址及端口进行倒转,并将数据包交给它的网关处理,图中就是R1路由器
192.168.100.100:80--->192.168.10.10:10000
 
R1路由器检查访问者的源ip和目标ip地址,发现目标ip地址是192.168.10.10&#
最低0.47元/天 解锁文章
weixin_34248849
关注
nat端口回流
qq_44718856的博客
03-15 6641
内网用户通过NAT地址访问内网服务器 1. 组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过...
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题...
weixin_30376509的博客
09-19 4416
问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做...
华为路由器NAT端口回流
最新发布
weixin_42803019的博客
07-30 756
Huawei-GigabitEthernet0/0/2]nat server protocol tcp global interface g 0/0/1 80 inside 192.168.2.12 80 //在此处配置时需要使用interface类型(外网接口), g 0/0/1 这里g与后面的0一定要有空格。内网IP地址192.168.2.1(g0/0/2), 外网IP地址:219.146.84.42(g0/0/1),服务器ip192.168.2.12。
究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4030
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
华为防火墙NAT回流
weixin_42803019的博客
07-26 821
NAT回流,新建仅源地址转换, 源和目的都是trust 源地址是内网用户IP网段,目的地址是服务器IP(服务器私网IP),新建一个个公网同段的地址池,转换为和公网同一个网段的地址池,1、如果不可以,检查策略路由,新建策略路由器,源和目的都是trust,策略路由源和目的都包含内部用户IP网段和服务器IP网段,不走策略路由。2、再检查nat端口映射的安全区域是不是any,就行了。
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题
wangchaoqi1985的博客
11-10 1349
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题
华为路由web怎么设置?华为AR系列路由器web配置端口回流功能图文教程
10-01
华为AR系列路由器的Web配置教程主要涉及如何设置端口回流功能,以便内网服务器能够被外网访问。本文将详细解析这一过程。 首先,理解端口回流的重要性。在未开启端口回流时,只有外网主机可以通过外网IP加上特定...
防火墙NAT映射-端口回流-从零开始学RouterOS系列06
weixin_42588715的博客
08-05 1339
本教程适用于: 在内网里面使用公网地址去访问内网的服务器。 有点拗口,通俗来说,就是用一个公网IP就能内外网通吃,不用内网一个和外网一个的记。 端口回流,学名 Hairpin NAT。望文生义,就是发夹弯一样的NAT,当我们内网电脑使用公网地址访问网站服务器的时候,我们路由器立刻转手帮回送给网站服务器,就不用去走公网。 好处是:这样子不会受制于公网带宽限制,我们也不用记太多的访问方式。...
华为ar6121路由器端口回流配置
09-23
华为AR6121路由器是一款具有多个端口的网络设备,在进行端口回流配置时,需要按照以下步骤进行操作: 首先,登录路由器管理界面,进入配置模式。可以通过连接路由器的电脑浏览器输入默认网关的IP地址来访问管理界面...
NAT回流 - 内网使用公网ip访问内网服务器无效
m15151850711的博客
12-18 8957
场景:在!家里!(默认电信猫,企业部署的网关经配置可解决)内网搭建了一台服务器,地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内网有台设备想通过访问1.1.1.X,但是发现无法访问。 原因:1、表面上看,家庭环境下,nat转换发生在网关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说成区域上。 2、对于网关设备,分为进域和出域,域又包括网关上的各类网络接口组。一般网关如电信猫,nat的触发(包括nat条目)设置在出
ros端口映射和回流详解
02-06
什么是端口映射 这里说的端口映射是路由器上的端口映射。一般情况下,网络中路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口或是固定的外网IP地址),而访问不了局域内部服务器或工作站。要想让外面用户访问到局域网的电脑,那么就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,能够转发到局域内部的机器上,例如游戏服务器或WEB服务器。这就是端口映射。
routeros端口映射内网无法访问自身公网IP问题(环回).doc
01-06
routeros端口映射内网无法访问自身公网IP问题(环回)的详细教程,有需要的看
内网用户通过域名或公网IP访问内部服务器的解决办法
04-23
内网用户通过域名或公网IP访问内部服务器的解决办法
nat hairpin 端口回流(nat 回环)
qq_35382262的博客
04-25 5930
端口开启nat hairpin后,路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254,相当于从外网nat接口绕了一圈后再访问192.168.1.254。内网地址:192.168.1.2,内网服务器:192.168.1.254,外网地址:10.0.0.2。这样做的好处就是所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内部的攻击,防止内鬼。
端口回流与dns-map与域内NAT
dolphin98629的专栏
06-23 3031
端口回流与dns-map与域内NAT 回流的概念: 端口回流&DNS-map&域内NAT 组网分析: 某企业内部一台主机建了个WEB服务站点端口80,然后在网关Router上映射80端口到Web Server的80端口,这样外网上上就能以公网地址202.38.1.1:80的地址访问到Web Server的站点了。 但是Host A通过公网地址却无法访问服务器,如果Router
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 1606
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网的访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器的内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
端口回流和防火墙NAT映射
小单的博客专栏
08-26 8932
端口回流 先说一下路由器的端口回流功能的现象和作用: 支持端口回流指:网关上的映射方式支持回流,只有开启路由器的端口回流功能才能使同一局域网内访问局域网web网站。 当您访问内网主机对公网提供的服务时,可能出于习惯使用路由器WAN口IP地址进行访问(也就是外网IP),此时就需要端口回流功能来支持您的应用,打勾表示启用此功能;如果不启用此功能您只能使用服务器内网IP地址访问内网服务器(如果你在内网使用公网IP加对外映射的端口去访问,是无法访问的)。 总结一句话就是:实现在内网里面使用公网地址去访问内网的
不能用公网地址访问内网服务器的详解
eseries
07-14 625
                                                 -->究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
华为防火墙端口回流配置
05-13
华为防火墙的端口回流配置主要涉及到两种技术:端口映射和NAT。下面分别介绍: 1. 端口映射 端口映射是一种将外部网络中的IP地址和端口映射到内部网络中的IP地址和端口的技术。它的主要作用是将内部网络的服务暴露...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值