内网客户 通过 公网域名/ip 访问内网web服务器 出错

最新推荐文章于 2024-05-18 08:00:00 发布
最新推荐文章于 2024-05-18 08:00:00 发布
阅读量1.2w 收藏 10
点赞数 1
分类专栏: 网络工程 文章标签: 端口回环 内网web 端口回流
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zonghua521/article/details/78272446
版权
在一内部局域网中,
client  内网地址为 10.0.0.2    
web  服务器内网地址为 10.0.0.1    外网地址为  211.6.15.1    域名为  xx.love.com

问题:在内网10.0.0.2的机器上访问   外网地址 211.6.15.1 或者域名  xx.love.com  都无法访问,


 解决原理:就是内网用户向外网用户发送DNS查询,外网DNS会给内网用户回复,如果防火墙上面加了DNS参数,防火墙就会监控DNS回包,如果发现DNS回包的地址是映射到内网了,那么防火墙就会修改DNS回包把answer的地址改为内网的地址。


一些解决方法:

1.
        ASA5500新版本开发了这个FEATURE能解决这个问题,以前的PIX是不能解决这个问题的,
因为你这个现象是数据流从同一个接口出去再从同一个接口再回来,防火墙认为这是攻击行为,理所当然地拒绝掉。
用下面这个命令:
same-security-traffic permit  intra-interface
!##
intra-interface 
Permits communication in and out of the same interface. 
允许数据流能够从同一个接口进出。


2.
         启用ASA的  DNS Rewrite 技术, 在你NAT 后加上DNS关键字,
  例如 Static (Inside, outside) 202.100.1.2 192.168.1.2 dns ,
 对于内部PC访问服务器发出的DNS查询解析到地址,ASA帮忙转换成内部服务器地址,再将查询结果发给内部PC。
asa82cfg.pdf 第460页。


3.
       通过公网dns访问自己内部的web服务器的这种模式有两种模式,一种是WEB服务器放在自己的内网,一种是 web服务器防在自己的DMZ区,两种alias用法稍微有不一样。
如果是在内网的话,用法如下
   alias (inside)  服务器内网地址   服务器公网地址
如果是在dmz区,用法如下
   alias (inside)  服务器外网地址    服务器DMZ地址 


4.
可以修改客户机10.0.0.2的 hosts文件,添加一个映射
 linux客户机:
     文件位置   /etc/hosts
   查看一下  cat /etc/hosts
   127.0.0.1  localhost  
    添加以下一行命令
    10.0.0.1 xx.love.com

 windows客户机:
 文件位置   C:/Windows/System32/drivers/etc/hosts
  查看文件
   # For example: 
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com   
添加一下一行命令
10.0.0.1 xx.love.com




5.最简单的方法
   直接访问内网地址吧!!!  10.0.0.1   






详细了解  请看思科官网 讲解:
背景信息
在典型的 DNS 交换中,客户端将 URL 或主机名发送到 DNS 服务器,以确定该主机的 IP 地址。DNS 服务器接收请求,查找该主机的“名称到 IP 地址”映射,然后将包含 IP 地址的 A 记录提供给客户端。虽然此过程在许多情况下都进行得很好,但也会发生一些问题。如果客户端和客户端尝试访问的主机均位于 NAT 后面的同一专用网络上,但客户端使用的 DNS 服务器位于另一个公共网络上,则会发生这些问题。
方案:两个 NAT 接口(内部、外部)
拓扑
在此场景中,客户端和客户端尝试访问的 WWW 服务器均位于 ASA 的内部接口上。将动态 PAT 配置为允许客户端对 Internet 进行访问。将带有 access-list 的静态 NAT 配置为不但允许 Internet 主机访问 WWW 服务器,而且允许 WWW 服务器访问 Internet。

 
 
 

  
  
  内网客户 通过 公网域名/ip  访问内网web服务器 出错 - 朝鲜程序员 - 朝鲜程序员的博客
 
 
 

 
 
 

  
  
  
此图说明了这种情况。在这种情况下,地址为 192.168.100.2 的客户端希望使用 server.example.com URL 来访问地址为 192.168.100.10 的 WWW 服务器。客户端的 DNS 服务由地址为 172.22.1.161 的外部 DNS 服务器提供。由于 DNS 服务器位于另一个公共网络上,因此,它不知道 WWW 服务器的专用 IP 地址。然而,它知道 WWW 服务器的映射地址 172.20.1.10。因此,DNS 服务器包含 server.example.com 到 172.20.1.10 的“IP 地址到名称”映射。

  
  
  
问题:客户端无法访问 WWW 服务器

  
  
  
如果在这种情况下未启用 DNS 修正或其他解决方案,则当客户端发送获取 server.example.com 的 IP 地址的 DNS 请求时将无法访问 WWW 服务器。这是因为,客户端接收的 A 记录包含 WWW 服务器的映射的公共地址:172.20.1.10。当客户端尝试访问此 IP 地址时,安全设备会丢弃数据包,因为它不允许在同一个接口上重定向数据包。当 DNS 修正处于禁用状态时配置的 NAT 部分如下所示:

  
  
  

   
   
   
ciscoasa(config)#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa


!--- Output suppressed.

access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www


!--- Output suppressed.

global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0
static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255
access-group OUTSIDE in interface outside 


!--- Output suppressed.



  
  
  

  
  
  
当 DNS 修正处于禁用状态时 ASDM 中的配置如下所示:

  
  
  

   
   
   内网客户 通过 公网域名/ip  访问内网web服务器 出错 - 朝鲜程序员 - 朝鲜程序员的博客
  
  
  

  
  
  

   
   
   

  
  
  

  
  
  
 下面是当 DNS 修正处于禁用状态时事件的数据包捕获:

  
  
  
    
   
  1. 客户端发送 DNS 查询。
    
    
    
    
    
     
     
     
    No.     Time      Source          Destination       Protocol Info
1       0.000000  192.168.100.2   172.22.1.161      DNS      Standard query 
                                                             A server.example.com

Frame 1 (78 bytes on wire, 78 bytes captured)
Ethernet II, Src: Cisco_c8:e4:00 (00:04:c0:c8:e4:00), Dst: Cisco_9c:c6:1f 
(00:0a:b8:9c:c6:1f)
Internet Protocol, Src: 192.168.100.2 (192.168.100.2), Dst: 172.22.1.161 
(172.22.1.161)
User Datagram Protocol, Src Port: 50879 (50879), Dst Port: domain (53)
Domain Name System (query)
    [Response In: 2]
    Transaction ID: 0x0004
    Flags: 0x0100 (Standard query)
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        server.example.com: type A, class IN
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)

    
    
    
    
    2. 
   
  2. DNS 查询由 ASA 执行 PAT 并被转发。请注意,数据包的源地址已更改为 ASA 的外部接口。
    
    
    
    
    
     
     
     
    No.     Time      Source           Destination         Protocol Info
1       0.000000  172.20.1.2       172.22.1.161        DNS      Standard query 
                                                                A server.example.com

Frame 1 (78 bytes on wire, 78 bytes captured)
Ethernet II, Src: Cisco_9c:c6:1e (00:0a:b8:9c:c6:1e), Dst: Cisco_01:f1:22 
(00:30:94:01:f1:22)
Internet Protocol, Src: 172.20.1.2 (172.20.1.2), Dst: 172.22.1.161 
(172.22.1.161)
User Datagram Protocol, Src Port: 1044 (1044), Dst Port: domain (53)
Domain Name System (query)
    [Response In: 2]
    Transaction ID: 0x0004
    Flags: 0x0100 (Standard query)
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 0
    Queries
        server.example.com: type A, class IN
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)
    
    
    
    
    3. 
   
  3. DNS 服务器用 WWW 服务器的映射地址予以回复。
    
    
    
    
    
     
     
     
    No.     Time      Source          Destination       Protocol Info
2       0.005005  172.22.1.161    172.20.1.2        DNS      Standard query response 
                                                             A 172.20.1.10

Frame 2 (94 bytes on wire, 94 bytes captured)
Ethernet II, Src: Cisco_01:f1:22 (00:30:94:01:f1:22), Dst: Cisco_9c:c6:1e 
(00:0a:b8:9c:c6:1e)
Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 172.20.1.2 
(172.20.1.2)
User Datagram Protocol, Src Port: domain (53), Dst Port: 1044 (1044)
Domain Name System (response)
    [Request In: 1]
    [Time: 0.005005000 seconds]
    Transaction ID: 0x0004
    Flags: 0x8580 (Standard query response, No error)
    Questions: 1
    Answer RRs: 1
    Authority RRs: 0
    Additional RRs: 0
    Queries
        server.example.com: type A, class IN
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)
    Answers
        server.example.com: type A, class IN, addr 172.20.1.10
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)
            Time to live: 1 hour
            Data length: 4
            Addr: 172.20.1.10

    
    
    
    
    4. 
   
  4. ASA 撤消 DNS 响应的目标地址的转换并将数据包转发到客户端。请注意,在未启用 DNS 修正的情况下,应答中的地址仍然是 WWW 服务器的映射地址。
    
    
    
    
    
     
     
     
    No.     Time      Source         Destination         Protocol Info
2       0.005264  172.22.1.161   192.168.100.2       DNS      Standard query response
                                                              A 172.20.1.10

Frame 2 (94 bytes on wire, 94 bytes captured)
Ethernet II, Src: Cisco_9c:c6:1f (00:0a:b8:9c:c6:1f), Dst: Cisco_c8:e4:00 
(00:04:c0:c8:e4:00)
Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 192.168.100.2 
(192.168.100.2)
User Datagram Protocol, Src Port: domain (53), Dst Port: 50879 (50879)
Domain Name System (response)
    [Request In: 1]
    [Time: 0.005264000 seconds]
    Transaction ID: 0x0004
    Flags: 0x8580 (Standard query response, No error)
    Questions: 1
    Answer RRs: 1
    Authority RRs: 0
    Additional RRs: 0
    Queries
        server.example.com: type A, class IN
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)
    Answers
        server.example.com: type A, class IN, addr 172.20.1.10
            Name: server.example.com
            Type: A (Host address)
            Class: IN (0x0001)
            Time to live: 1 hour
            Data length: 4
            Addr: 172.20.1.10

    
    
    
    
    5. 
   
  5. 此时,客户端尝试访问地址为 172.20.1.10 的 WWW 服务器。ASA 将为此通信创建连接项。然而,因为它不允许数据流从内部流到外部再流回内部,所以连接会超时。ASA 日志显示以下内容:
    
    
    
    
    
     
     
     
    %ASA-6-302013: Built outbound TCP connection 54175 for 
outside:172.20.1.10/80 (172.20.1.10/80) to inside:192.168.100.2/11001 
(172.20.1.2/1024)

%ASA-6-302014: Teardown TCP connection 54175 for outside:172.20.1.10/80 to 
inside:192.168.100.2/11001 duration 0:00:30 bytes 0 SYN Timeout

    
    
    
    
    6. 
  

  
  
  
解决方案:“dns”关键字

  
  
  
使用“dns”关键字进行 DNS 修正
最低0.47元/天 解锁文章
centos2015
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户通过域名公网IP访问内部服务器的解决办法
04-23
用户通过域名公网IP访问内部服务器的解决办法
内部主机通过公网地址访问服务器配置案例
04-15
解决局域公网域名访问web服务器
用户通过公网IP地址访问内部服务器
weixin_34013044的博客
06-30 2564
络环境: Web门户服务器:192.168.22.8/24,关为192.168.22.1 内PC段:192.168.X.X/24,关为192.168.X.1,第一个X表示部门 因为Web门户站需要提供给外用户访问,同时内用户也需要访问。故在边界防火墙做了目的地址NAT,公网地址为222.*.*.98/29(与互联地址为同段),端口80;内地址为192...
如何用公网访问服务器
最新发布
2301_78526531的博客
05-18 482
通过【天联】,企业可以将分布在不同地区的监控设备和物联设备连接到内服务器,实现数据的远程采集和管理,便于集中监控和操作。:在需要访问服务器的设备上,配置【天联】的客户端软件,连接到【天联】服务器。通过【天联】,不同分店的收银系统可以连接到总部内服务器,实现数据的实时共享和统一管理,方便企业进行管理和监控。:为了保护内部资源的安全,需要合理设置【天联】的访问权限,仅允许信任的用户或IP地址进行访问。通过【天联】,企业内部员工可以通过公网访问服务器,实现跨地域的办公和协同工作,
不能用公网地址访问服务器的详解
eseries
07-14 558
                                                 -->究竟为什么内不能用公网地址访问服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比...
服务器防火墙作用,防火墙内用户通过公网域名公网IP访问内部服务器 - 华为技术论坛 - 51CTO技术论坛_中国领先的IT技术社区...
weixin_26997697的博客
07-29 1080
发表于2010-10-12 21:59|来自51CTO页内使用公网地址访问内部服务器需求的实现产品型号:100V方法一、R002版本支持。方法二、使用下面的配置进行规避:100V不支持NAT DNS MAP,但可以通过下面的配置来规避。----+-------公网||+-------+--------------+| g0/1 1.0.0.1 || ...
NAT回流,解决内主机无法访问服务器问题
yao12_的博客
08-29 5164
解决内主机无法通过公网地址或域名访问主机的问题
Java判断IP地址为内IP还是公网IP的方法
09-03
在Java编程中,判断一个IP地址是内IP(Private IP)还是公网IP(Public IP)通常涉及到络通信和TCP/IP协议的理解。TCP/IP协议为了提高络效率和安全性,将一部分IP地址范围预留给了内部络使用,这些IP地址...
用户通过域名公网IP访问内部服务器的解决办法[参照].pdf
10-13
用户通过域名公网IP访问内部服务器的解决办法 概述:本文档介绍了内用户通过域名公网IP访问内部服务器的解决办法,涉及到络拓扑结构、路由器配置、NAT服务器配置、DNS解析等多个方面。为了帮助读者更好...
电脑教程无公网IP实现外访问群晖.rar
10-25
标题中的“电脑教程无公网IP实现外访问群晖”主要涉及到的是络穿透技术,特别是对于家庭或小型办公室用户来说,如何在没有公网IP地址的情况下,远程访问内部络中的设备,例如群晖NAS(Network Attached ...
用户通过域名访问公司内某些页服务
weixin_44304678的博客
01-26 2272
1.配置防火墙端口映射,将内服务映射到公司出口 配置了nat server后防火墙的安全策略要放行。我这个默认允许所有流量通行,不做配置。 2.配置外主机hosts文件,路径为C:\Windows\System32\drivers\etc\hosts。 添加两条域名映射,需要访问几个就添加几个 61.139.2.5 www.aaa.com 61.139.2.5 www.bbb.com 现在外主机访问www.aaa.com,就可以访问到内服务器页服务。 ...
后端接口测试正常,前端Ajax数据传输到后端数据类型不匹配的问题后遇到的一系列问题
okokhelloworld的博客
05-14 1766
标题form表单post到后端数据类型为x-www-form-urlencoded,后端显示not support 我的解决办法: 在前端ajax属性中加 contentType:“application/json;charset=utf-8”, 后端方法中参数的注解为@Responsbody 但紧接而来跨域问题: 我不禁疑问:为什么会出现跨域问题呢? 浏览器同源策略:协议、域名、端口都要一致。不然容易收到xss、CSFR等攻击 (我的在前端测试是8848 ~~疑惑.jpg~~ ,后端接口8080。接
域名如何访问服务器
天联SD-WAN的博客
05-03 528
我们可以使用更直观、易于记忆的域名访问服务器,而不需要记住复杂的IP地址。当我们在浏览器中输入一个域名时,浏览器会发起一个域名解析的请求,将域名转换为对应的IP地址,然后再与相应的服务器建立连接。无论是在需要远程管理服务器访问资源还是搭建本地测试环境,域名访问服务器都将成为我们的得力助手。的端口转发功能,我们可以方便地使用域名访问服务器。中,我们可以通过配置端口转发来使得内服务器可以通过域名进行访问。通过以上步骤配置完毕后,我们就可以通过域名访问服务器了。地址,只能在内访问
Error:NetworkError
abckingaa的博客
01-12 2044
申请时碰到这种问题. 后来是重新安装软证书才行. 要是360使用了极速模式,则会提示192.168.的本地地址连不上. 注意,要使用兼容模式登录! -------------------------------------------------------------- 初创公司的福音! 让你快速拥有自己的个性化站/系统! 快码加编: 快速生成代码平台,让你可以直接在生成好的代码加业务逻辑! 为你缩短软件开发周期,节约软件开发成本! 深圳彩凤软件——软件智能制造提供商! ...
使用caddy作为web服务器
Linux运维菜
01-11 1724
Caddy是一个由Go语言编写的Web服务器软件,可以自动实现HTTPS部署。
每日一个小tip(一)服务器访问域名失败原因之一
weixin_47083982的博客
07-21 784
服务器访问域名失败原因之一
浅谈“内IP地址泄漏”
热门推荐
→_→
07-11 1万+
一:漏洞名称: 内IP地址泄漏 描述: 站的内部IP地址,常常被攻击者通过信息收集,得到其内IP地址,对于渗透攻击,打下良好基础,如内Ip地址段,IP路由等等。常见的泄露内IPweb容器有IIS。 内部 IP 定义为下列 IP 范围内的 IP: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 检测条件: Web业务运行正常 检测方法:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值