网工排错日记:NAT SERVER的内网回环问题(内网用户无法访问映射成公网的服务器)

已于 2022-09-09 10:05:04 修改
阅读量4.3k 收藏 15
点赞数 6
分类专栏: 网工排错日记 文章标签: 服务器 网络
于 2022-03-09 10:15:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44799797/article/details/123369507
版权

NAT SERVER内网回环问题


1、问题说明
防火墙计划对内网中某台服务器(10.1.1.2)做了NAT SERVER(映射为200.1.1.1:80),使得外网用户可以通过公网地址访问该服务器;配置完成以后,发现外网用户(200.1.1.254)可以通过200.1.1.1:80访问服务器,内网用户(10.1.1.1)无法通过200.1.1.1:80访问服务器。

网络拓扑如下:
在这里插入图片描述

2、问题分析
1> 因外网用户(200.1.1.254)可正常访问服务器,初步判定NAT SERVER配置不存在问题。
2> 内网用户(10.1.1.1)访问200.1.1.1:80的路径为:Client1==>LSW1==>FW2==>FW2将200.1.1.1转换为10.1.1.2==>LSW1==>Server1,此时Server1收到的数据包为源IP:10.1.1.1,目的IP:10.1.1.2,到这个阶段未出现异常
3>当Server1向Client1返回数据包时:Server1发现10.1.1.1属于自己同网段的IP(即便不同网段,只要在同一个内网都会出现这种情况),所以将数据直接转给10.1.1.1,此时10.1.1.1收到的数据包为源IP:10.1.1.2,目的IP:10.1.1.1。因为Client1访问的是200.1.1.1,对于10.1.1.2回复的数据包它不会接收,此问题便为无法访问的根因。

3、解决方式
分析:只需要使得Client1使用200.1.1.1:80去访问Server1的时候,Server1收到的数据包源地址不是内网地址,内网中的网络设备就不会直接把数据包传给Client1,便可以恢复正常。
方案:在防火墙上新建一条SNAT,规定Client1(10.1.1.1)访问Server1(10.1.1.2)时,将源IP转换成公网IP(拓扑中为200.1.1.1),即可解决问题。
注:SNAT策略中为什么目的地址是10.1.1.2?因为Client1访问200.1.1.1:80时,FW2会根据NAT SERVER将200.1.1.1:80转换成10.1.1.2:80

挠到秃头的涛某
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
锐捷设备 | 部署了NAT后,内网用户无法访问外网,怎么办?
网络技术联盟站
07-27 1937
因此当出口路由器与外网通信正常,但是内网用户无法与外网通信(包括ping不通外网、ping得通外网但某些业务异常等),都可能是防火墙或流控设备上做了相关限制,需排查防火墙/流控设备上的配置。注意,show ip nat translation命令后必须指定对应用户的IP地址(| include x.x.x.x),否则大量的nat表项输出可能影响客户业务甚至导致设备挂死。确认PC和出口路由器之间的联通行是否正常,如果能ping通网关,但是无法ping通出口路由器,则排查网关至出口的三层连通性。
内网服务器做了映射还是无法用公网访问,内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障分析...
weixin_36296064的博客
08-02 5163
记得很早之前有帮大学同学处理过一个内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障,记得红茶三杯老师有篇博文有做过很详细的分析,现转载过来分享给大家,原文如下:关于“内网PC无法使用服务器NAT映射后的公网地址访问服务器的故障”,正好最近有个兄弟问到这个问题,所以稍做解析,这个案例虽然简单,但是具有一定的代表性(本例以华为防火墙做讲解,技术原理类似)。 在上图所示的网络中,PC Sta...
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题...
weixin_30376509的博客
09-19 4281
问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做...
全面分析:内部无法使用映射公网访问内部服务器的原因
oO天龙的博客
09-13 1万+
往往我们在配置完路由器将内部访问到外部互联网以及外部互联网能访问功所映射服务器时,就认为已经配置完。却忽略了仍然存在的一个重大问题:内部用户无法使用映射公网IP来访问到内部服务器。下面将通过实验来分析出现这种问题的原因。 实验拓扑: 实验配置:        实验各接口配置如上图,重点来看router1(简R1)配置,如下 R1#sh run interfac
网络环路发生及解决
学徒心
05-10 1128
本文主要讨论了网络拓扑结构设计不合理、网络扩充或新设备加入时可能出现的环路问题以及环路后的网络现象和解决方案。文章提供了误将两条本应连接不同设备的线缆连接到一起和在没有做堆叠、恰当的配置和管理的情况下,两个接入交换机直接互联这两种场景下的环路问题的解决方案,还介绍了环路后网络可能存在的现象,包括大量广播包或组播包、PING 延迟增加、网关交换机中各接口流量高占用、网络中存在高优先级流量抢占和交换机的缓存溢出等
NAT回流 - 内网使用公网ip访问内网服务器无效
m15151850711的博客
12-18 8776
场景:在!家里!(默认电信猫,企业部署的网关经配置可解决)内网搭建了一台服务器地址ip:192.168.1.X,对外公网ip:1.1.1.X;现在内网有台设备想通过访问1.1.1.X,但是发现无法访问。 原因:1、表面上看,家庭环境下,nat转换发生在网关,所以大家觉得nat是设备的功能,数据包到达设备就能触发。实际在实现细节上,nat的触发条件是发生在端口上,也可以说区域上。 2、对于网关设备,分为进域和出域,域又包括网关上的各类网络接口组。一般网关如电信猫,nat的触发(包括nat条目)设置在出
使用内网穿透远程连接局域网内无法访问公网服务器
qq_39068200的博客
06-18 1989
出于安全性考虑,服务器在部署时被设置为无法访问公网。我们处于和服务器相同的局域网时,可以ssh连接服务器,但除此之外无法连接。而服务器本身没网,向日葵、teamviewer等工具就无法安装在服务器上。本文使用内网穿透技术(NAT),提供两种思路实现在任何有网络的机器上都可以ssh到局域网内的服务器
Nat回环(Lan——>Lan端口映射原理)
zx824
06-27 1万+
原文地址:http://www.cisco-club.com.cn/space-112942-do-blog-id-1438.html Nat回环(Lan——>Lan端口映射原理) Bati-gol 整理   应用背景: 局域网内网服务器对外发布,基于对服务器的保护,内网用户需通过域名或者公网ip来访问内网服务器。如下图所示:   名词解释: DNAT:转换目标ip地址
路由器端口映射公网正常访问 而局域网无法通过公网IP访问
热门推荐
MADNESS
12-19 2万+
转载:http://blog.csdn.net/yxwmzouzou/article/details/18089291 问题:在NR289-E 路由器对8010端口进行映射(虚拟服务),映射到我自己的电脑的80端口,设置功后,但在本机上(即192.168.1.80这台PC机)访问域名和外网ip时,都是无法打开,还以为是映射功或是被路由器屏蔽了呢! 一直没法解决,只好因vp
routeros端口映射内网无法访问自身公网IP问题(环回).doc
01-06
routeros端口映射内网无法访问自身公网IP问题(环回)的详细教程,有需要的看
案例分析:内部无法使用映射公网访问内部服务器的原因
weixin_34097242的博客
07-28 778
案例分析:内部无法使用映射公网访问内部服务器的原因防火墙型号:网神SecGate3600千兆防火墙1、拓扑图1网络拓扑2、网络功能描述1)网神防火墙工作在混合模式:下级单位和内部网络通信通过防火墙,防火墙采用透明模式传输模式;内部网络访问外网(Internet)防火墙采用路由模式。2)核心网络设备和防火墙之间的通信是通过管理IP进行路由传输。...
华为ME60问题-内网访问网站正常外网缓慢问题解决.docx
02-22
在学校整网进行大二层改造和添加认证计费系统时,出现了内网访问外网慢的问题。由于学校的情况特殊,网关无法上移,因此只能通过三层路由方式进行上网,相应的认证方式便只能采用 IPoe 三层认证。在运行一段时间后,...
SQLSERVER 高级复 制 排错 技巧
09-14
无法确定所有者(WANGJINGZHENG\Administrator,拥有作业复制代理程序检查)是否有访问服务器的权限(原因:未能获得有关Windows NT组/用户'WANGJINGZHENG\Administrator'的信息。[SQLSTATE 42000](错误8198)). #...
通信与网络中的通过路由器NAT来实现IP地址绑定多台应用服务器
11-06
如果出现访问问题,就需要进行排错,检查配置是否有误,或者是否存在网络其他部分的问题,如路由、ACL(访问控制列表)设置等。 总的来说,通过路由器的NAT功能,企业可以克服公网IP地址的限制,让内部多台应用...
网络排错高手:Hadoop环境中IP地址配置全攻略
最新发布
07-11
1. **Hadoop Distributed File System (HDFS)** - 一个分布式文件系统,设计用于在多个服务器上存储大量数据,提供高吞吐量的数据访问。 2. **MapReduce** - 一个编程模型和软件框架,用于在Hadoop集群上进行并行...
深入研究Windows内部原理系列之十四:用户模式的程序排错(上)
05-31
在深入探讨Windows操作系统内部原理的过程中,用户模式的程序排错是一项至关重要的技能。这个主题主要集中在如何识别、理解和解决在用户模式下运行的应用程序中出现的问题用户模式排错不仅对于开发者来说是必备的...
究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 3945
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
FortiGate做DNAT映射内网用户无法正常访问映射
叫我小火柴
02-11 729
FortiGate防火墙正常做完VIP的地址映射后,外网可以正常访问映射服务,但是内网用户无法正常访问
nat hairpin 端口回流(nat 回环
qq_35382262的博客
04-25 5053
在端口开启nat hairpin后,路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254,相当于从外网nat接口绕了一圈后再访问192.168.1.254。内网地址:192.168.1.2,内网服务器:192.168.1.254,外网地址:10.0.0.2。这样做的好处就是所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内部的攻击,防止内鬼。
nginx php 104,记一次nginx 502排错经历:recv() failed (104: Connection reset by peer)
05-19
这个错误通常表示与后端PHP服务器的连接断开了,可能是由于PHP服务器过载或崩溃引起的。出现这种情况时,您可以采取以下措施: 1. 检查PHP服务器是否正常运行,并且没有出现任何错误或警告。 2. 检查PHP服务器的错误日志,看是否有任何有用的信息。 3. 检查PHP服务器的资源使用情况,看是否达到了其处理能力的极限。 4. 调整Nginx和PHP服务器之间的连接参数,例如增加超时时间或缓冲区大小。 5. 尝试使用其他PHP服务器,看是否仍然出现同样的问题。 6. 考虑在Nginx和PHP服务器之间添加负载均衡器,以便在PHP服务器出现问题时自动将请求路由到其他服务器上。 7. 最后,如果以上方法都无法解决问题,可以考虑联系Nginx和PHP服务器的支持团队,以获取更深入的技术支持。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值