请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 7373|回复: 6

内网用户通过公网地址访问内网服务器

[复制链接]

15

主题

32

帖子

302

积分

中级会员

Rank: 3Rank: 3

积分
302
发表于 2014-6-9 14:28:44 | 显示全部楼层 |阅读模式
本帖最后由 sharker 于 2014-6-9 14:37 编辑

内网用户通过公网地址访问内网服务器
拓扑示意图:
【需求说明】内网用户可以访问internet,外网用户可以访问web服务器,内网用户通过公网地址访问web服务器。。
【实现方法】在防火墙出接口ETH0_1配置源NAT和目的NAT,公网地址借用防火墙出接口地址。
【实现效果】内网用户可以访问internet,外网用户可以访问web服务器,但内网用户只能通过私网地址访问web服务器。
【过程分析】
1.       web服务器映射公网地址10.0.0.1A发起向web服务器的tcp会话首次握手请求,IP报文结构源:192.168.1.2,目的:10.0.0.1
2.       首次握手请求路由到达防火墙出接口,该接口有对应的10.0.0.1目的NAT,首次握手报文目的地址变化,此时IP报文结构源:192.168.1.2,目的:192.168.0.2
3.       Web服务器收到该tcp首次握手请求,web服务器发送二次握手,二次握手IP报文结构源:192.168.0.2,目的:192.168.1.2
4.       二次握手报文会在核心交换机通过直连路由,直接转发至内网用户A
5.       A收到这个二次握手报文,直接丢弃,因为A从来没有给192.168.0.2发送过tcp首次握手请求,A在等待来自10.0.0.1的二次握手一直到超时,web服务器在等待来自A的三次握手报文一直到超时。
6.       内网用户通过公网地址10.0.0.1无法访问web服务器。
【问题分析】内网用户通过公网地址访问web服务器TCP会话建立失败,访问超时。
【解决办法】A发出的首次tcp握手报文,目标地址发生替换,同时替换源地址。
【实现方法】防火墙内网口ETH0_0添加源NAT和目的NAT
【过程分析】
1.       A访问web服务器公网地址,A10.0.0.1发送tcp首次握手报文,报文结构源:192.168.1.2,目的:10.0.0.1
2.       防火墙内网口ETH0_0收到该tcp首次握手报文,该接口配置有10.0.0.1对应目的NAT,目的地址发生替换,源:192.168.1.2,目的:192.168.0.2,目的地址是内网地址,防火墙直接查找路由将该tcp首次报文从ETH0_0发出去。
3.       防火墙将该报文从ETH0_0发出去时发现接口配置有源NAT,将源地址替换,报文结构源:10.0.1.2,目的:192.168.0.2
4.       Web服务器收到并回应二次握手,二次握手报文结构源:192.168.0.2,目的:10.0.1.2
5.       防火墙收到二次握手报文后,查找之前的NAT表项。
首次握手报文源192.168.1.2,目的10.0.0.1
二次握手报文源192.168.0.2,目的10.0.1.2
6.       内网用户A收到二次会话,报文结构源10.0.0.1,目的地址192.168.1.2,与首次会话源和目的匹配,开始三次握手,会话建立,内网用户通过公网地址访问web服务器成功。
【防火墙NAT配置】
NAT
目的NAT
【总结】
该方案适用于内网用户需要通过公网地址或者域名访问内网服务器应用场景。通过域名访问应用场景下,还可以通过dns-alg方式实现,H3C采用dns-map方式。
dns-alg方式:
dns-map方式:
[Router] nat dns-map domain www.test.com protocol tcp ip 10.0.0.1 port www

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

发表于 2014-6-9 16:45:11 | 显示全部楼层
顶一个
!
回复

使用道具 举报

0

主题

7

帖子

51

积分

注册会员

Rank: 2

积分
51
QQ
发表于 2014-7-7 20:28:23 | 显示全部楼层
赞一个!
心外无物,闲看庭前花开花落;去留无意,漫随天外云卷云舒
回复

使用道具 举报

0

主题

2

帖子

27

积分

新手上路

Rank: 1

积分
27
发表于 2014-10-16 21:59:22 | 显示全部楼层
好,但是双线上网,一个联通一个铁通,让web服务只走联通,如何设置
回复 支持 反对

使用道具 举报

1

主题

52

帖子

198

积分

注册会员

Rank: 2

积分
198
发表于 2015-11-21 00:59:33 | 显示全部楼层
正需要这方面的内容,多谢提供。
回复 支持 反对

使用道具 举报

0

主题

8

帖子

34

积分

新手上路

Rank: 1

积分
34
发表于 2015-11-27 14:32:09 | 显示全部楼层
好东西啊,必须顶!
回复 支持 反对

使用道具 举报

0

主题

105

帖子

156

积分

注册会员

Rank: 2

积分
156
发表于 2019-3-18 13:51:41 | 显示全部楼层
该文档是本人需要的
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技 ( 浙ICP备09001402号-2 )

GMT+8, 2021-10-26 17:21 , Processed in 0.178389 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表