端口回流与dns-map与域内NAT

最新推荐文章于 2023-08-29 15:52:28 发布
最新推荐文章于 2023-08-29 15:52:28 发布
阅读量3.4k 收藏 4
点赞数
分类专栏: 互联网&WEB

端口回流与dns-map与域内NAT

回流的概念:

端口回流与dns-map与域内NAT









 

 

端口回流&DNS-map&域内NAT

组网分析:

某企业内部一台主机建了个WEB服务站点端口80,然后在网关Router上映射80端口到WebServer80端口,这样外网上上就能以公网地址202.38.1.1:80的地址访问到WebServer的站点了。

但是Host A通过公网地址却无法访问服务器,如果Router支持端口回流的话那么HostA就可以通过公网地址访问内部服务器。

原因分析:

端口回流与dns-map与域内NAT

 

 

如上图可以很明显的看出报文①发送到RouterRouter根据NAT映射将目标地址改为10.110.10.1端口回流与dns-map与域内NAT10.110.10.1发送报文②。但是源地址不变仍为10.110.10.3端口回流与dns-map与域内NAT10.110.10.3。而后Web Server接收报文②后,发回③报文给HostA。注意此报文发送没有经过Router而是直接走二层。所以就导致了一个问题,HostA的请求目标为202.38.1.1,但是回应的源地址为10.110.10.1端口回流与dns-map与域内NAT10.110.10.1。所以导致会话不能建立。(但是ICMP是可以的,因为ICMP是基于进程号—sequence number)

解决方法:

1)     Host AWeb Server的地址设置为不同网段,这一步可以通过划分vlan解决,即服务器和主机在不同的网段。或者可以在路由器的内网接口下配置sub地址,也能解决此问题。只要数据流经过Router就可以正常访问。

2)     路由器支持端口回流,其原理如下:

当路由器收到Host A发送的向202.38.1.1发送的TCP请求报文时,路由器将目标地址改为NAT的映射后的私网地址(10.110.10.1端口回流与dns-map与域内NAT10.110.10.1),端口为80。同时也把请求报文的源地址改为内部网关的地址即10.110.10.10端口回流与dns-map与域内NAT10.110.10.10,端口1025。之后Web服务器收到此请求报文。并对其回应。因为报文的源地址为网关地址。所以此报文会再经过网关。从而再次转换。达到HostA可以正常访问服务器的目的。其实这一步也可以理解为基于源地址转换的NAT。即本文后面要说到的域内NAT

 

为什么说是端口回流,因为在大多数soho级的路由器中-D-Link的路由有一个专门的选项为“端口回流”(此特性要看具体型号)如下:

 

 端口回流与dns-map与域内NAT

通过NAT完成“端口回流“

 

但是在中高端企业级路由器上则没有这么一说。因为此功能完全可以由路由器NAT来完成。假设RouterH3C的路由器。配置如下:

acl number 2000

 rule 10permit source 10.110.10.0 0.0.255.255

 rule 15deny

#

acl number 3000

 rule 10permit ip source 10.110.10.0 0.0.255.255 destination 10.110.10.10端口回流与dns-map与域内NAT10.110.10.10

 rule 15 denyip

#

interface GigabitEthernet1/1

description inside

 nat outbound2000(此处也可用acl 3000)

 nat serverprotocol icmp global 202.38.1.1 inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1

 nat serverprotocol tcp global 202.38.1.1 telnet inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1telnet

 nat serverprotocol tcp global 202.38.1.13389端口回流与dns-map与域内NAT202.38.1.13389 inside 10.110.10.1 3389

 ip address10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

description outside

nat outbound 2000

 nat serverprotocol icmp global 202.38.1.1 inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1

 nat serverprotocol tcp global 202.38.1.1 telnet inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1telnet

 nat serverprotocol tcp global 202.38.1.13389端口回流与dns-map与域内NAT202.38.1.13389 inside 10.110.10.1 3389

 ip address202.38.1.1 255.255.255.0

如上所示,外网口和内网口的配置全部相同。这样内网数据在访问web的服务器地址时202.38.1.1,在内网接口G1/1根据NATServer将目标地址转换为内网地址10.110.10.1端口回流与dns-map与域内NAT10.110.10.1,源地址根据nat outbound 2000把源地址改为G1/1接口的地址。即和上面端口回流原理一样。如此即可建立连接。

或者很简单的将内网的PCWeb Server分到不同的网段。PC改为10.111.10.3端口回流与dns-map与域内NAT10.111.10.3网关为10.111.10.1端口回流与dns-map与域内NAT10.111.10.1,配置如下:

interface interface GigabitEthernet1/1

 descriptioninside

 nat serverprotocol icmp global 202.38.1.1 inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1

 nat serverprotocol tcp global 202.38.1.1 telnet inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1telnet

 nat serverprotocol tcp global 202.38.1.13389端口回流与dns-map与域内NAT202.38.1.13389 inside 10.110.10.1 3389

 ip address10.110.10.10 255.255.0.0

ip address 10.111.10.1 255.255.0.0 sub

而此种方式不需要内网接口配置nat outbound,比较简单。

ping的效果:

C:\Users\MELODY>ping 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1

 

正在 Ping10.111.10.1端口回流与dns-map与域内NAT10.111.10.1 具有 32 字节的数据:

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

 

 

C:\Users\MELODY>ping 202.38.1.1

 

正在 Ping202.38.1.1 具有 32 字节的数据:

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

来自 202.38.1.1 的回复字节=32 时间<1ms TTL=255

 

上下比较对于ICMP来说即使ping的目标和回应的地址不同,凭借ICMPsequencenumber-ICMP也是可达的。由此我们更应想到,对NATServer的原理:当数据包进入接口时对数据包的目标地址进行NATServer的转换,在出接口时对数据包的源地址进行转换---如果地址都匹配NAT Server配置的地址。

 

关于域内NAT

我相信,凡事配置过防火墙的工程师都应配置过域内NAT,域内NAT的原理和如上H3C路由器的内网接口配置natoutbound的原理如出一辙。只是防火墙配置的位置为域内,而路由器为接口。具体配置可参考我之前的“华赛USG 域内NAT”一文。

 

关于dns-map

Dns-mapH3C的一个技术。natdns-map命令用来配置一条域名到外部IP地址、端口号、协议类型的映射。此命令用于配置内部服务器的“域名-外部IP地址、端口、协议类型”的映射,使内部主机在内部网络无DNS服务器的情况下,可以使用不同的域名区别并访问对应的内部服务器。最多允许配置16条映射。

该功能的实现是对原有DNSALG的补充和修改DNS ALG模块的处理流程:内网DNS服务器发向其上级DNS服务器的DNS回应报文中的地址,使用natserver命令中设置的DNS映射地址替换原有DNS回应报文中的地址。

配置dns-map后的处理流程:对外网DNSserver发向内网PCDNS回应报文中,如果该报文中包含的域名是使用dns-map命令中定义的,那么替换该报文中的公网地址为使用nat server命令映射的私网地址。

 

配置实例:

客户需求:

1)     使用H3C路由器作为NAT设备作easynat实现内网对公网的访问

2)     内部服务器能够被外网以域名方式访问,域名已注册,能被公网dns服务器正确解析为202.38.1.1

3)     内网用户也能像外网用户一样通过域名访问内网服务器

 

参考配置:

nat dns-map www123.com 202.38.1.180端口回流与dns-map与域内NAT202.38.1.180 tcp

nat dns-map ftp.123.com 202.38.1.121端口回流与dns-map与域内NAT202.38.1.121 tcp

nat dns-map smtp.123.com 202.38.1.125端口回流与dns-map与域内NAT202.38.1.125 tcp

nat dns-map pop.123.com 202.38.1.1110端口回流与dns-map与域内NAT202.38.1.1110 tcp

#

acl number 2000

 rule 10permit ip source 10.110.0.0 0.0.255.255

#

interface GigabitEthernet1/1

 descriptioninside

ip address 10.110.10.10 255.255.0.0

#

interface GigabitEthernet1/2

 descriptionoutside

nat outbound 2000

 nat serverprotocol tcp global 202.38.1.1 www inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1www

 nat serverprotocol tcp global 202.38.1.1 smtp inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1smtp

 nat serverprotocol tcp global 202.38.1.1 pop3 inside 10.110.10.1端口回流与dns-map与域内NAT10.110.10.1pop3

 nat serverprotocol tcp global 202.38.1.14899端口回流与dns-map与域内NAT202.38.1.14899 inside 10.110.10.1 4899

 nat serverprotocol tcp global 202.38.1.18080端口回流与dns-map与域内NAT202.38.1.18080 inside 10.110.10.1 8080

nat server protocol udp global 202.38.1.1 dns inside10.110.10.1端口回流与dns-map与域内NAT10.110.10.1dns

ip address 202.38.1.1 255.255.255.0

 

要替换的报文如下:

端口回流与dns-map与域内NAT

 

 

由上可以看出,dns-map将匹配的域名和公网地址的DNS回应报文的解析地址改为了内网地址,如此内网的PC就可以通过内网地址访问服务器了。只是将DNS解析请求发到了公网而已。之后的数据走的都是二层了。但是有个弊端就是PC与服务器的数据流没有经过三层,降低了安全性。



转自:http://melodyyayun.blog.51cto.com/2111476/956326
文哥雄起
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ros端口映射和回流详解
02-06
什么是端口映射 这里说的端口映射是路由器上的端口映射。一般情况下,网络中路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口或是固定的外网IP地址),而访问不了局域内部服务器或工作站。要想让外面用户访问到局域网的电脑,那么就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,能够转发到局域内部的机器上,例如游戏服务器或WEB服务器。这就是端口映射。
nat-api:使用UPnP和NAT-PMP进行快速端口映射
05-12
纳塔比 在NodeJS中使用UPnP和NAT-PMP进行快速端口映射。安装必需:NodeJS> = 10npm install nat-api用法const NatAPI = require ( 'nat-api' )const client = new NatAPI ( )// Map public port 1000 to private ...
NAT回流
qq_46127271的博客
05-11 2863
NAT回流
NAT DNS-MAP 命令
weixin_34217773的博客
10-29 756
NAT DNS-MAP 命令 以前针对私网用户如何用公网域名访问本地私网内的SERVER这样的解决方法,一般是在内网建立DNS服务器,现在华为提供了一条命令,可以直接在内网使用公网域名访问本地的服务器. 【命令】 nat dns-map domain-name global-addr global-port [ tcp | udp ] undo nat dns-m...
用传统的NAT方式替代H3C的DNS-MAP功能
weixin_34024034的博客
11-24 222
相信大家在做链路均衡相关的项目中,往往会碰到用户有如下要求:对于内网服务器向外发布的域名,除了让公网用户来访问之外,内网用户也同样用域名方式来访问服务器。但是内网用户的访问往往会出问题,当公网用户用域名正常访问的时候,内网用户却访问不了应用,这是什么原因呢?我们来逐一分析两种情况。 1、 外网用户通过域名访问的情况,见下图: 如上图所示,当公网客户端...
网络安全技术- NAT-10 端口映射的作用.mp3
07-04
网络安全技术- NAT-10 端口映射的作用.mp3
9.12-NAT Server(端口映射)ensp工程文件
04-25
9.12-NAT Server(端口映射)ensp工程文件 详细教程见 https://www.orcy.net.cn/2313.html
计算机网络-NAT与P2P.ppt
最新发布
04-21
### 计算机网络中的NAT与P2P技术详解 #### 一、网络地址转换(NAT) **网络地址转换(Network Address Translation, NAT)** 是一种用于将内部网络中的私有IP地址转换为合法的公有IP地址的技术,使得内部网络能够...
stubby-docker:通过将Stubby与Unbound相结合,获得DNS-over-TLS转发的全部功能
05-22
未绑定和Stubby Docker映像这是做什么的? 这样,您可以运行Stubby以获得比... Unbound通过端口53公开DNS,并将不在其缓存中的请求转发到端口8053上的Stubby容器(未公开)。 然后,Stubby通过TLS执行DNS解析。 默认
NAT回流,解决内网主机无法访问内网服务器问题
yao12_的博客
08-29 5109
解决内网主机无法通过公网地址或域名访问内网主机的问题
端口回流和防火墙NAT映射
小单的博客专栏
08-26 8406
端口回流 先说一下路由器的端口回流功能的现象和作用: 支持端口回流指:网关上的映射方式支持回流,只有开启路由器的端口回流功能才能使同一局域网内访问局域网web网站。 当您访问内网主机对公网提供的服务时,可能出于习惯使用路由器WAN口IP地址进行访问(也就是外网IP),此时就需要端口回流功能来支持您的应用,打勾表示启用此功能;如果不启用此功能您只能使用服务器内网IP地址访问内网服务器(如果你在内网使用公网IP加对外映射的端口去访问,是无法访问的)。 总结一句话就是:实现在内网里面使用公网地址去访问内网的
IP回流问题分析
文哥雄起的博客
04-21 989
转自:http://blog.csdn.net/streen_gong/article/details/60954448 IP“回流”,这个词以前在搞Linux iptables的时候某次听过,也没去仔细思考。 之前给公司发布web服务,外网端口映射给内网服务器的时候碰到,但未解决(必要性很低)。最近在处理外网访问内网,内网有跨网访问专网这些“打洞”事宜的时候,觉得得顺便把这问题给解决
华为USG6330运维记录-端口回流、策略路由
weixin_34307464的博客
11-09 2148
1、起初虚拟化平台中使用USG6330上联ISP线路,只接入了一根线路;下联S5700三层交换机(三台做的堆叠)。在三层交换机上启了几个VLAN作为业务网端,并配置vlan地址,放置业务服务器(并未放置在DMZ);USG6330和S5700这间通过互通地址通讯,USG端10.10.12.253,S5700端10.10.12.254,所有vlan下跳地址指向10.10.12.2...
防火墙网络地址转换技术
zljszn的博客
10-13 4464
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要配置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
NAPT之NAT地址池、NAPT之easy-ip、NAT-Server
weixin_55932038的博客
06-25 3683
R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 //定义acl。[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29 //掩码是29。[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29 //掩码是29。[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 30 //掩码是30。
NAT以及MAP详解
smstong的成长轨迹
03-20 4913
(图片上传不了,完整版本请去我的资源里下载)NAT以及MAP详解在讨论NATMAP之前,先说一下为什么需要它们。想象一下,如果每个终端设备都有公网IP地址,那么任意两个设备之间只要有网络联通就可以直接相互访问,根本不需要改变IP数据报。问题是,现在大多数设备还工作在Ipv4,公网IP的数量十分有限,早就被用光了。为了解决公网IPV4地址短缺的问题,才引入了NATMAP。当然还有安全问题
OpenWRT的NAT环回似乎失效问题
热门推荐
aplsc的专栏
01-25 1万+
自己编译了一个OpenWRT作为主路由,但是一开始端口转发无效,经过一番摸索,端口转发问题解决,但是在内网使用ddns外网+端口号无法访问又出现了,经过另外的折腾终于解决,现在记录一下,希望对存在类似问题的朋友有帮助。 OpenWRT版本号: 固件版本 OpenWrt R22.1.1 / LuCI Master (git-21.335.48743-5f363d9) 内核版本 5.10.93 一、端口转发失效的问题 有人说是内核的问题,有人说是docker的问题,再重新编译也比较麻烦,看看能不能省事哪里设置一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值