收藏
下载资源

内网通过公网地址访问内部服务器

上传人:ji****72 文档编号:37629928 上传时间:2018-04-20 格式:DOC 页数:6 大小:200.50KB
返回 下载 相关 举报
内网通过公网地址访问内部服务器_第1页
第1页 / 共6页
内网通过公网地址访问内部服务器_第2页
第2页 / 共6页
内网通过公网地址访问内部服务器_第3页
第3页 / 共6页
内网通过公网地址访问内部服务器_第4页
第4页 / 共6页
内网通过公网地址访问内部服务器_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《内网通过公网地址访问内部服务器》由会员分享,可在线阅读,更多相关《内网通过公网地址访问内部服务器(6页珍藏版)》请在金锄头文库上搜索。

1、内网通过公网地址访问内部服务器内网通过公网地址访问内部服务器一、组网拓扑:一、组网拓扑:internetSecpath100fS3026EEthernet0/0:(TRUST ) 172.16.2.1/24 Ethernet1/0:(外网) 10.153.49.193/22 Ethernet1/2(DMZ) 172.16.1.1/24172.16.2.100/24 (TRUST)10.72.66.36/22 公网 DNS 服务器Ftp-server,WWW 172.16.1.2/24(DMZ)二、组网需求:二、组网需求:要求内部用户访问内部服务器时,可通过外网映射的地址访问服务器 (WWW,F

2、TP 等) 。三、配置实例如下:三、配置实例如下:dis cur #sysname Quidway #firewall packet-filter enablefirewall packet-filter default permit #undo insulate #undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20 #firewall statistic system enable # radius sche

3、me system # domain system # acl number 2000rule 0 permit source 172.16.0.0 0.0.255.255 # interface Aux0 async mode flow # interface Ethernet0/0ip address 172.16.2.1 255.255.255.0 nat server protocol tcp global 10.153.49.212 www inside 172.16.1.2 www # interface Ethernet1/0ip address 10.153.49.193 25

4、5.255.252.0nat outbound 2000nat server protocol tcp global 10.153.49.212 www inside 172.16.1.2 www # interface Ethernet1/1 # interface Ethernet1/2ip address 172.16.1.1 255.255.255.0 # interface NULL0 # firewall zone localset priority 100 # firewall zone trustadd interface Ethernet0/0set priority 85

5、# firewall zone untrustadd interface Ethernet1/0set priority 5 # firewall zone DMZadd interface Ethernet1/2set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ # firewall interzone trust untrust #firewall interzone trust DMZ # firewall in

6、terzone DMZ untrust # ip route-static 0.0.0.0 0.0.0.0 10.153.48.1 preference 60 # user-interface con 0 user-interface aux 0 user-interface vty 0 4authentication-mode none # return四、说明:四、说明:1映射地址可以是出口的接口地址。2服务器可以在“TRUST”区域中。3目前在 SecPath 防火墙上,暂时还没有办法使内网用户通过域名、外网 IP、私网地址 同时能访问内网服务器。路由器内网 PC 通过公网 IP 访问映

7、射的内网 SERVER 案例 一、组网:二、问题描述: 拓朴如上图,内网 PC 与内网所在的 SERVER 在同一个网段,现在内网 SERVER 对 公网用户提供 WWW 和 FTP 服务,在公网上有相应的域名。现在要求内网 PC 可以 同时通过公网域名、公网 IP 和私网 IP 来访问内网的这台 SERVER。 三、过程分析: 内网主机通过公网域名来访问映射的 SERVER 在 AR 路由器上都是通过 NAT DNS- MAP 来实现的,但不能同时通过公网 IP 和私网 IP 来访问 SERVER。如果在设备 内网口配置 NAT SERVER 则可以把访问公网地址转换成私网地址,然后向 SE

8、RVER 发起连接,但源地址还是内网主机的地址,此时 SERVER 给 PC 回应报文 时就不会走路由器,直接发到了内网 PC 上,内网 PC 认为不是自己要访问的地 址,会把这个报文丢弃,因此会导致连接中断。如果让 SERVER 把报文回给路由 器,路由器再根据 NAT SESSION 就可以正确转发给 PC 了。 四、解决方法: 在内网接口配置一个 NAT OUTBOUND 3000 就可以了。具体配置如下: H3Cdis cu #sysname H3C #clock timezone gmt+08:004 add 08:00:00 #cpu-usage cycle 1min #conne

9、ction-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20 #web set-package force flash:/http.zip # radius scheme system # domain system # local-user adminpassword cipher .USE=B,53Q=QMAF41!service-type telnet terminallevel 3service-type ftp #

10、 acl number 2000rule 0 permit source 192.168.1.0 0.0.0.255rule 1 deny # acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0 # interface Aux0async mode flow # interface Ethernet1/0ip address 192.168.1.1 255.255.255.0nat outbound 3000nat server protocol tcp global 20

11、0.0.0.2 ftp inside 192.168.1.2 ftp # interface Ethernet1/1 # interface Ethernet1/2 # interface Ethernet1/3 # interface Ethernet1/4 # interface Ethernet1/5 # interface Ethernet1/6 #interface Ethernet1/7 # interface Ethernet1/8 # interface Ethernet2/0ip address 200.0.0.2 255.255.255.0nat outbound 2000nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp # interface Ethernet3/0 # interface NULL0 #FTP server enable #ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60 # user-interface con 0 user-interface aux 0 user-interface vty 0 4authentication-mode scheme # return H3C

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号