热门标签
热门文章
- 1MATLAB求函数极限的简单介绍_matlab 求极限(1/sqrt(n^2+1)+1/sqrt(n^2+2)+...+1/sqrt(
- 22024年美国大学生数学建模比赛MCM问题A:资源可用性和性别比例-思路解析与代码解答_problem a: resource availability and sex ratios
- 3攻防crackme(手动脱壳nspack)_nspack脱壳工具
- 4tensorflow学习笔记——高效读取数据的方法(TFRecord)_tensorflow读取tfrecord
- 5Github Actions自动部署Hexo博客至个人服务器_hexoplus
- 6[附源码]Sprintboot计算机毕业设计的手机电商网站【源码+数据库+LW+部署】_springboot 电商网站
- 733bbb.com图片区
- 8Field redisTemplate in ... required a bean of type ...RedisTemplate' that could not be found.
- 9Unity Shader - Creating and Using Materials - 创建与使用材质_unity 从 shader创建material
- 10[实验]同一个端口能被几个Socket使用?一个Socket能监测几个Socket?_serversocket一个端口只能监听一个用户吗
当前位置: article > 正文
网工排错日记:NAT SERVER的内网回环问题(内网用户无法访问映射成公网的服务器)_内网无法访问映射出去的公网ip
作者:繁依Fanyi0 | 2024-03-03 09:04:14
赞
踩
内网无法访问映射出去的公网ip
NAT SERVER内网回环问题
1、问题说明:
防火墙计划对内网中某台服务器(10.1.1.2)做了NAT SERVER(映射为200.1.1.1:80),使得外网用户可以通过公网地址访问该服务器;配置完成以后,发现外网用户(200.1.1.254)可以通过200.1.1.1:80访问服务器,内网用户(10.1.1.1)无法通过200.1.1.1:80访问服务器。
网络拓扑如下:
2、问题分析:
1> 因外网用户(200.1.1.254)可正常访问服务器,初步判定NAT SERVER配置不存在问题。
2> 内网用户(10.1.1.1)访问200.1.1.1:80的路径为:Client1==>LSW1==>FW2==>FW2将200.1.1.1转换为10.1.1.2==>LSW1==>Server1,此时Server1收到的数据包为源IP:10.1.1.1,目的IP:10.1.1.2,到这个阶段未出现异常
3>当Server1向Client1返回数据包时:Server1发现10.1.1.1属于自己同网段的IP(即便不同网段,只要在同一个内网都会出现这种情况),所以将数据直接转给10.1.1.1,此时10.1.1.1收到的数据包为源IP:10.1.1.2,目的IP:10.1.1.1。因为Client1访问的是200.1.1.1,对于10.1.1.2回复的数据包它不会接收,此问题便为无法访问的根因。
3、解决方式:
分析:只需要使得Client1使用200.1.1.1:80去访问Server1的时候,Server1收到的数据包源地址不是内网地址,内网中的网络设备就不会直接把数据包传给Client1,便可以恢复正常。
方案:在防火墙上新建一条SNAT,规定Client1(10.1.1.1)访问Server1(10.1.1.2)时,将源IP转换成公网IP(拓扑中为200.1.1.1),即可解决问题。
注:SNAT策略中为什么目的地址是10.1.1.2?因为Client1访问200.1.1.1:80时,FW2会根据NAT SERVER将200.1.1.1:80转换成10.1.1.2:80
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/184286
推荐阅读
相关标签
